SlideShare uma empresa Scribd logo

Entendendo o PCI-DSS

Conviso Application Security
Conviso Application Security

O documento fornece uma visão geral sobre o padrão PCI-DSS, que estabelece uma série de controles de segurança para proteger dados de cartões de crédito. Ele descreve os motivos para o crescimento de incidentes de vazamento de dados, os requisitos do padrão PCI-DSS, e as especialidades da empresa Conviso em auxiliar organizações a atenderem os requisitos 6 e 11 do padrão.

Internet
1 de 20
Baixar para ler offline
PCI-DSS - Uma visão geral sobre o padrão 1 Friday, July 4, 2014
Sobre o PCI O Payment Council Industry Council (PCI Council) foi criado em 2006 pelas bandeiras de cartão de crédito para estabelecer e gerenciar a aplicação de uma série de controles de segurança nas transações realizadas com este tipo de sistema. Hoje existem três documentos que concentram estes controles para diferentes audiências: PCI Data Security Standard: Define os controles para todas as empresas que aceitam pagamentos através de cartões com a distribuição de uma série de medidas em 12 requerimentos complementares Payment Application Data Security Standard: Estabelece os controles para as empresas que desenvolvem softwares utilizados no suporte para as transações realizadas com cartões PIN Transaction Security: Estabelece os controles para as empresas que desenvolvem o hardware utilizado no suporte para as transações realizadas com cartões 2 Friday, July 4, 2014
Os Motivadores Recorde: Em julho de 2011 o site DatalossDB bateu o recorde de incidentes com vazamento de dados, 90 incidentes foram registrados Cresce o número de incidentes: Dos 10 maiores incidentes envolvendo vazamento de cartões de créditos, apenas uma aconteceu antes de 2005 “Ativismo Hacker”: Uma onda de ataques a integridade e disponibilidade dos dados atualmente está em curso supostamente por reinvidicações e motivações políticas 3 Friday, July 4, 2014
Os Motivadores SONY PSN: Dados de 77 milhões de usuários foram comprometidos e prejuízos estimados em US$ 1.5 Bilhão Diginotar: Comprometimento de seus certificados o que levou a falência da empresa Dezenas de empresas brasileiras: Todos os dias empresas nacionais são comprometidas e não reportam aos seus clientes ou divulgam notas sobre os incidentes 4 Friday, July 4, 2014
Por que minha organização deve se preocupar? As bandeiras de cartões, comprometem-se a fornecer incentivos financeiros para quem estiver em conformidade e aplicar penalidades para os não-conformes Estar em conformidade pode ajudar a reduzir a responsabilidade em caso de perda de dados Uma análise adequada e um projeto apropriado de seus sistemas pode ajudá-lo a controlar melhor os dados de seus clientes e, conseqüentemente, ajudá-lo a melhorar o seu serviço de atendimento e satisfação ao cliente 5 Friday, July 4, 2014
Quando eu preciso contratar uma empresa certificada pelo PCI Council? ‣ A organização irá buscar suporte com as bandeiras e empresas especializadas nos controles para fazer avaliações anteriores ao processo de auditoria. Após a adequação de controles será necessário passar por uma auditoria com empresas certificadas pelo PCI Council ‣ Obs.: Não é necessário empresas certificadas para adequar controles, opte por empresas especializadas em cada controle e garanta a segregação entre quem implementa e a empresa auditora 6 Friday, July 4, 2014
Os Controles 7 Controles Requisitos Construir e manter uma rede segura 1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão 2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Proteger os dados do portador de cartão 3. Proteger os dados armazenados do portador do cartão 4.Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Manter um programa de gerenciamento de vulnerabilidades 5. Usar e atualizar regularmente o software ou programas antivírus 6. Desenvolver e manter sistemas e aplicativos seguros Friday, July 4, 2014
Os Controles 8 Controles Requisitos Implementar medidas de controle de acessos rigorosas 7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio 8. Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador 9. Restringir o acesso físico aos dados do titular do cartão Monitorar e testar as redes regularmente 10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão 11. Testar regularmente os sistemas e processos de segurança Manter uma política de segurança de informações 12. Manter uma política que aborde a segurança das informações para todas as equipes Friday, July 4, 2014
Os Dados do Titular do Cartão Estes são os dados que devem ser protegidos para atendimento ao padrão: 9 ‣ O número da conta principal (PAN) ‣ O nome do titular do cartão ‣ Data de Vencimento ‣ Código de serviço ‣ Dados em tarja magnética ou equivalente em chip ‣ CAV2/CVC2/CVV2/CID ‣ PINs/Bloqueios de PIN Friday, July 4, 2014
Porque e o que Armazenar A primeira decisão é verificar se realmente é necessário armazenar os dados do titular do cartão. A melhor opção é não armazenar. O que pode ser armazenado (sobre rígido controle) O número da conta principal (PAN) O nome do titular do cartão Código de serviço Data de vencimento O que não pode ser armazenado Dados completos da tarja magnética CAV2/CVC2/CVV2/CID PIN/Bloqueio de PIN 10 Friday, July 4, 2014
Sobre a Adoção de Controles A adoção de controle segue os conceitos de tratamento de riscos, não exigindo que todos os controles sejam implementados O planejamento adequado evita o gasto com controles desnecessários evitando riscos ou adotando controles compensatórios Soluções prontas de hardware ou software sozinhas não atendem as necessidades de controles, é necessário processos claros e entendimento dos riscos 11 Friday, July 4, 2014
Maiores Dificuldades Ausência de uma visão de gestão de riscos clara dificultando o desenho adequado dos controles Mudanças culturais relacionadas ao desenho e implementação de novos processos Conscientização e capacitação dos envolvidos no tratamento e custódia dos dados do titular do cartão 12 Friday, July 4, 2014
Recursos no site do PCI Council Glossário Planilha para auto-avaliação Navegando pelo PCI-DSS: Entendendo o porque dos controles https://pt.pcisecuritystandards.org/security_standards/ documents.php? category=supporting&document=pci_ssc_quick_guide# pci_ssc_quick_guide 13 Friday, July 4, 2014
A nossa especialidade A Conviso é especializada e possui cases de sucesso nos seguintes controles: Requisito 6: Desenvolver e manter sistemas e aplicativos seguros Requisito 11: Testar regularmente os sistemas e processos de segurança 14 Friday, July 4, 2014
Sobre a Conviso Application Security Mais de 350 testes realizados por ano em empresas dos mais diversos segmentos Investimentos contínuos em pesquisas e participações em projetos Open Source como OWASP (Open Web Application Security Project) e nas principais conferências técnicas como YSTS; H2HC; OWASP AppSec entre outros Equipe técnica experiente e altamente especializada em desenvolvimento de software e segurança de ambientes que o suportam 15 Friday, July 4, 2014
Atuação: Requisito 6 Capacitação: Capacitação em segurança de aplicações atendendo desde planejamento a práticas de codificação segura Implementação de processos: Desenho e implementação de processos de segurança em desenvolvimento Revisão de Código: Análise de código fonte nas principais linguagens de programação em soluções de Internet Banking; E- commerce; Workflow; Conteúdo e outros 16 Friday, July 4, 2014
Atuação: Requisito 6 Web Security Assessment: Análises detalhadas e sobre medida em aplicações web no modelo black-box e white-box Scan automatizado de aplicações: Adotando uma análise hibrida, onde o scanner é adequadamente configurado e as análises validadas por equipe especializada Firewall de Aplicação (WAF): Implementação, suporte e mão de obra especializada na customização e monitoramento de soluções de firewall de aplicação Hardening: Configuração de segurança em ambientes que suportam as aplicações 17 Friday, July 4, 2014
Atuação: Requisito 11 Penetration Test: Testes de invasão buscando a validação de controle de perímetros, infraestrutura interna e conscientização de usuários Scan automatizado de infraestrutura: Adotando uma análise hibrida, onde o scanner é adequadamente configurado e as análises validadas por equipe especializada 18 Friday, July 4, 2014
Conclusões A adoção de controles a operação da organização permite uma gestão de riscos adequada e benefícios diretos Passos para se adequar Conheça o padrão Busque auxílio com as bandeiras Adote controles efetivos e não busque apenas a conformidade Na dúvida consulte diretamente o PCI Council 19 Friday, July 4, 2014
20 Curitiba | Miami | São Paulo Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095-3986 Escritório Estados Unidos 8671 NW 56th Street, Suite B65 Doral, FL 33166 T (786) 382-0167 www.conviso.com.br Friday, July 4, 2014

Recomendados

Curso PCI DSS - Overview
Curso PCI DSS - OverviewCurso PCI DSS - Overview
Curso PCI DSS - OverviewData Security
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS OverviewUlisses Castro
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSignClavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 

Recomendados

Curso PCI DSS - Overview
Curso PCI DSS - OverviewCurso PCI DSS - Overview
Curso PCI DSS - OverviewData Security
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS OverviewUlisses Castro
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSignClavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Natalia Fernandes
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
Identidade, Segurança e Governança
Identidade, Segurança e GovernançaIdentidade, Segurança e Governança
Identidade, Segurança e GovernançaVirtù Tecnológica
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geralTiago Andrade
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...TECSI FEA USP
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 
TCC - Certificação Digital
TCC - Certificação DigitalTCC - Certificação Digital
TCC - Certificação DigitalMarcos Bezerra
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da InformaçãoAllan Piter Pressi
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Strong Security Brasil
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security
 

Mais conteúdo relacionado

Semelhante a Entendendo o PCI-DSS

ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Natalia Fernandes
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
Identidade, Segurança e Governança
Identidade, Segurança e GovernançaIdentidade, Segurança e Governança
Identidade, Segurança e GovernançaVirtù Tecnológica
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geralTiago Andrade
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...TECSI FEA USP
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 
TCC - Certificação Digital
TCC - Certificação DigitalTCC - Certificação Digital
TCC - Certificação DigitalMarcos Bezerra
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da InformaçãoAllan Piter Pressi
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Strong Security Brasil
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 

Semelhante a Entendendo o PCI-DSS (20)

ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Identidade, Segurança e Governança
Identidade, Segurança e GovernançaIdentidade, Segurança e Governança
Identidade, Segurança e Governança
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geral
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
TCC - Certificação Digital
TCC - Certificação DigitalTCC - Certificação Digital
TCC - Certificação Digital
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da Informação
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 

Mais de Conviso Application Security

Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web HackingConviso Application Security
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebConviso Application Security
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashConviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security
 

Mais de Conviso Application Security (20)

Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 

Entendendo o PCI-DSS

  • 1. PCI-DSS - Uma visão geral sobre o padrão 1 Friday, July 4, 2014
  • 2. Sobre o PCI O Payment Council Industry Council (PCI Council) foi criado em 2006 pelas bandeiras de cartão de crédito para estabelecer e gerenciar a aplicação de uma série de controles de segurança nas transações realizadas com este tipo de sistema. Hoje existem três documentos que concentram estes controles para diferentes audiências: PCI Data Security Standard: Define os controles para todas as empresas que aceitam pagamentos através de cartões com a distribuição de uma série de medidas em 12 requerimentos complementares Payment Application Data Security Standard: Estabelece os controles para as empresas que desenvolvem softwares utilizados no suporte para as transações realizadas com cartões PIN Transaction Security: Estabelece os controles para as empresas que desenvolvem o hardware utilizado no suporte para as transações realizadas com cartões 2 Friday, July 4, 2014
  • 3. Os Motivadores Recorde: Em julho de 2011 o site DatalossDB bateu o recorde de incidentes com vazamento de dados, 90 incidentes foram registrados Cresce o número de incidentes: Dos 10 maiores incidentes envolvendo vazamento de cartões de créditos, apenas uma aconteceu antes de 2005 “Ativismo Hacker”: Uma onda de ataques a integridade e disponibilidade dos dados atualmente está em curso supostamente por reinvidicações e motivações políticas 3 Friday, July 4, 2014
  • 4. Os Motivadores SONY PSN: Dados de 77 milhões de usuários foram comprometidos e prejuízos estimados em US$ 1.5 Bilhão Diginotar: Comprometimento de seus certificados o que levou a falência da empresa Dezenas de empresas brasileiras: Todos os dias empresas nacionais são comprometidas e não reportam aos seus clientes ou divulgam notas sobre os incidentes 4 Friday, July 4, 2014
  • 5. Por que minha organização deve se preocupar? As bandeiras de cartões, comprometem-se a fornecer incentivos financeiros para quem estiver em conformidade e aplicar penalidades para os não-conformes Estar em conformidade pode ajudar a reduzir a responsabilidade em caso de perda de dados Uma análise adequada e um projeto apropriado de seus sistemas pode ajudá-lo a controlar melhor os dados de seus clientes e, conseqüentemente, ajudá-lo a melhorar o seu serviço de atendimento e satisfação ao cliente 5 Friday, July 4, 2014
  • 6. Quando eu preciso contratar uma empresa certificada pelo PCI Council? ‣ A organização irá buscar suporte com as bandeiras e empresas especializadas nos controles para fazer avaliações anteriores ao processo de auditoria. Após a adequação de controles será necessário passar por uma auditoria com empresas certificadas pelo PCI Council ‣ Obs.: Não é necessário empresas certificadas para adequar controles, opte por empresas especializadas em cada controle e garanta a segregação entre quem implementa e a empresa auditora 6 Friday, July 4, 2014
  • 7. Os Controles 7 Controles Requisitos Construir e manter uma rede segura 1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão 2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Proteger os dados do portador de cartão 3. Proteger os dados armazenados do portador do cartão 4.Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Manter um programa de gerenciamento de vulnerabilidades 5. Usar e atualizar regularmente o software ou programas antivírus 6. Desenvolver e manter sistemas e aplicativos seguros Friday, July 4, 2014
  • 8. Os Controles 8 Controles Requisitos Implementar medidas de controle de acessos rigorosas 7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio 8. Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador 9. Restringir o acesso físico aos dados do titular do cartão Monitorar e testar as redes regularmente 10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão 11. Testar regularmente os sistemas e processos de segurança Manter uma política de segurança de informações 12. Manter uma política que aborde a segurança das informações para todas as equipes Friday, July 4, 2014
  • 9. Os Dados do Titular do Cartão Estes são os dados que devem ser protegidos para atendimento ao padrão: 9 ‣ O número da conta principal (PAN) ‣ O nome do titular do cartão ‣ Data de Vencimento ‣ Código de serviço ‣ Dados em tarja magnética ou equivalente em chip ‣ CAV2/CVC2/CVV2/CID ‣ PINs/Bloqueios de PIN Friday, July 4, 2014
  • 10. Porque e o que Armazenar A primeira decisão é verificar se realmente é necessário armazenar os dados do titular do cartão. A melhor opção é não armazenar. O que pode ser armazenado (sobre rígido controle) O número da conta principal (PAN) O nome do titular do cartão Código de serviço Data de vencimento O que não pode ser armazenado Dados completos da tarja magnética CAV2/CVC2/CVV2/CID PIN/Bloqueio de PIN 10 Friday, July 4, 2014
  • 11. Sobre a Adoção de Controles A adoção de controle segue os conceitos de tratamento de riscos, não exigindo que todos os controles sejam implementados O planejamento adequado evita o gasto com controles desnecessários evitando riscos ou adotando controles compensatórios Soluções prontas de hardware ou software sozinhas não atendem as necessidades de controles, é necessário processos claros e entendimento dos riscos 11 Friday, July 4, 2014
  • 12. Maiores Dificuldades Ausência de uma visão de gestão de riscos clara dificultando o desenho adequado dos controles Mudanças culturais relacionadas ao desenho e implementação de novos processos Conscientização e capacitação dos envolvidos no tratamento e custódia dos dados do titular do cartão 12 Friday, July 4, 2014
  • 13. Recursos no site do PCI Council Glossário Planilha para auto-avaliação Navegando pelo PCI-DSS: Entendendo o porque dos controles https://pt.pcisecuritystandards.org/security_standards/ documents.php? category=supporting&document=pci_ssc_quick_guide# pci_ssc_quick_guide 13 Friday, July 4, 2014
  • 14. A nossa especialidade A Conviso é especializada e possui cases de sucesso nos seguintes controles: Requisito 6: Desenvolver e manter sistemas e aplicativos seguros Requisito 11: Testar regularmente os sistemas e processos de segurança 14 Friday, July 4, 2014
  • 15. Sobre a Conviso Application Security Mais de 350 testes realizados por ano em empresas dos mais diversos segmentos Investimentos contínuos em pesquisas e participações em projetos Open Source como OWASP (Open Web Application Security Project) e nas principais conferências técnicas como YSTS; H2HC; OWASP AppSec entre outros Equipe técnica experiente e altamente especializada em desenvolvimento de software e segurança de ambientes que o suportam 15 Friday, July 4, 2014
  • 16. Atuação: Requisito 6 Capacitação: Capacitação em segurança de aplicações atendendo desde planejamento a práticas de codificação segura Implementação de processos: Desenho e implementação de processos de segurança em desenvolvimento Revisão de Código: Análise de código fonte nas principais linguagens de programação em soluções de Internet Banking; E- commerce; Workflow; Conteúdo e outros 16 Friday, July 4, 2014
  • 17. Atuação: Requisito 6 Web Security Assessment: Análises detalhadas e sobre medida em aplicações web no modelo black-box e white-box Scan automatizado de aplicações: Adotando uma análise hibrida, onde o scanner é adequadamente configurado e as análises validadas por equipe especializada Firewall de Aplicação (WAF): Implementação, suporte e mão de obra especializada na customização e monitoramento de soluções de firewall de aplicação Hardening: Configuração de segurança em ambientes que suportam as aplicações 17 Friday, July 4, 2014
  • 18. Atuação: Requisito 11 Penetration Test: Testes de invasão buscando a validação de controle de perímetros, infraestrutura interna e conscientização de usuários Scan automatizado de infraestrutura: Adotando uma análise hibrida, onde o scanner é adequadamente configurado e as análises validadas por equipe especializada 18 Friday, July 4, 2014
  • 19. Conclusões A adoção de controles a operação da organização permite uma gestão de riscos adequada e benefícios diretos Passos para se adequar Conheça o padrão Busque auxílio com as bandeiras Adote controles efetivos e não busque apenas a conformidade Na dúvida consulte diretamente o PCI Council 19 Friday, July 4, 2014
  • 20. 20 Curitiba | Miami | São Paulo Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095-3986 Escritório Estados Unidos 8671 NW 56th Street, Suite B65 Doral, FL 33166 T (786) 382-0167 www.conviso.com.br Friday, July 4, 2014