SlideShare uma empresa Scribd logo

Protegendo informações críticas na nuvem: PCI DSS

Transferir como PPTX, PDF
Amazon Web Services LATAM
Amazon Web Services LATAM

Protegendo informações críticas na nuvem: PCI DSS - AWS Cloud Experience - Security

Tecnologia
1 de 33
Protegendo informações críticas na nuvem: PCI DSS David Reis, Arquiteto de Soluções
O que esperar desta sessão • Uma introdução rápida ao PCI • Dúvidas frequentes • Implementando controles PCI na AWS • Padrões de implementação
Uma introdução rápida ao PCI
Uma introdução rápida ao PCI • PCI DSS – Payment Card Industry Data Security Standard • PCI Council – PCISecurityStandards.org
Uma introdução rápida ao PCI • Fundada pela cinco maiores marcas de cartão • American Express • Discover Financial Services • JCB International • MasterCard • Visa
Uma introdução rápida ao PCI • Aplicada ao Primary Account Number – PAN • Aplicada quando você “armazena, processa ou transmite” PANs
Uma introdução rápida ao PCI Níveis dos Comerciantes • NÍVEL 1: • > 6 milhões de transações por ano • Requer um QSA para validação • NÍVEL 2: • 1 a 6 milhões de transações por ano • Requer um QSA para validação • NÍVEIS 3 & 4: • < 1 milhão de transações por ano • Pode usar uma avaliação via SAQ Conhecer o seu nível é fundamental para obter a conformidade com o PCI efetivamente Requisitos v. Validação SAQ v. QSA
Dúvidas Frequentes
Dúvidas Frequentes • “Há varias maneiras de arquitetar para atender a norma PCI” “Como eu sei se o meu auditor irá aceitar isto?”
Dúvidas Frequentes Implicações para conformidade em uma estratégia “All in” na nuvem “Como embuto os requisitos de conformidade em projetos ágeis?” “Quais fornecedores preciso envolver neste processo?”
Dúvidas Frequentes • Arquitetura de referência para conformidade • Endereçar as melhores práticas da AWS • Artefatos prontos para serem usados • Design personalizado e orientação detalhada
Dúvidas Frequentes • Quick Starts • https://aws.amazon.com/quickstart/ • Orientação geral para casos de uso comuns • Disponíveis publicamente
Dúvidas Frequentes • Aceleradores de conformidade para Enterprises • Engajamento do time de Professional Services • Playbooks de conformidade • Casos de uso complexos • Ambientes com controles únicos
Implementando controles PCI na AWS
Implementando controles PCI Plataforma, Aplicações, Identidade & Controle de Acesso Configuração do Sistema Operacional, Rede & Firewall Encriptação do lado do cliente & Autenticação da integridade dos dados Lado do Servidor (Sistema de arquivos e/ou dados) Proteção do tráfego de rede, Encriptação, Integridade, Identidade Dados dos Clientes Armazena- mento Banco de Dados Rede Edge Locations Regiões Zonas de Disponibilidade Computação Infraestrutura Global Responsabilidade do Cliente Segurança na nuvem Responsabilidade da AWS Segurança da nuvem Modelo de Responsabilidade Compartilhada
Implementando controles PCI Requirement AWS Responsibility Customer Responsibility Req. 1 Install and maintain a firewall configuration to protect cardholder data. Req. 2 Do not use supplier-supplied defaults for system passwords and other security parameters. Req. 3 Protect stored cardholder data. Req. 4 Encrypt transmission of cardholder data across open, public, networks Req. 5 Use and regularly update anti-virus software or programs. Req. 6 Develop and maintain secure systems and applications. Req. 7 Restrict access to cardholder data by business need-to-know. Req. 8 Assign a unique ID to each person with computer access. Req. 9 Restrict physical access to cardholder data. Req. 10 Track and monitor all access to network resources and cardholder data. Req. 11 Regularly test security systems and processes. Req. 12 Maintain a policy that addresses information security for employees and contractors.
Implementando controles PCI Conformidade não é sinônimo de segurança.
Implementando controles PCI • Cada aplicação PCI é única • Paridade e progresso • Paridade de proteção vs. Paridade de controle • Progredindo de manual e com etapas para automatizado e contínuo
Implementando controles PCI • Controles precisam ser escolhidos baseados no risco • Por exemplo, requisito 6.6 do PCI DSS SE {aplicação web exposta na internet == Verdadeiro} ENTÃO Implementar WAF OU Realizar um teste web de penetração anualmente • Notificar a AWS antes de realizar um teste de penetração
Implementando controles PCI • Fase 1 – Revisão geral do design • Fase 2 – Recomendações e matriz de fornecedores • Fase 3 – Playbook • Referências prontas para conformidade contínua
Colocando os seus PANs na AWS Padrões de Implementação
Padrões de Implementação • Credenciais das contas da AWS • Papéis com privilégio elevados • Baseadas em papéis – sudo • Autenticação usando múltiplos fatores (MFA) • Federação
Padrões de Implementação NACL • Stateless • Use NACLs como barreiras de alto nível • Sub redes != Zonas de Segurança Security Groups • Stateful • Modelo em camadas • Monitorar mudanças • Procurar por anti-padrões comuns
Padrões de Implementação VPC de Serviços Compartilhados • Logging e análise de logs • Identidade e autenticação • IAM roles e policies • DNS • Descoberta de serviços • Monitoração
Padrões de Implementação Subrede de Serviços Compartilhados • Console de antivirus • Console de sistemas de detecção de intrusão baseados em host • Console de monitoração de integridade de arquivos • Scanners de vulnerabilidade • Console de WAF • Ferramentas para deployment
Padrões de Implementação Recursos PCI dedicados • Maior isolamento • Menor peso de auditoria • Políticas IAM mais simples • Foco nos dados do cartão • Menor custo com licenciamento das ferramentas Recursos PCI compartilhados • Mais fácil de gerenciar • Baseline comum • Controle de acesso padronizado • Visão geral dos riscos • Eficiência operacional
Padrões de Implementação Serviços AWS validados para PCI • Lista atualizada: https://aws.amazon.com/compliance /pci-dss-level-1-faqs/ • Cobre a infraestrutura física e lógica • Cobre os processos de operação e gerenciamento envolvidos na entrega do serviço • Não cobre casos de uso específicos Outros serviços da AWS • Envolva o seu arquiteto de soluções da AWS • Decida sobre o uso de um serviço considerando o risco • Verifique com o seu QSA • Arquitete para minimizar os seus riscos
Padrões de Implementação Cheque com o seu QSA o quanto antes!
Padrões de Implementação • Vá com calma • Network Time Protocol (NTP) • Acesso aos bastion hosts e sistemas operacionais (SO) • Server-side encryption (SSE) • Intrusion detection System/intrusion prevention System (IDS/IPS) – baseado em host vs. baseado em rede
Padrões de Implementação • Vá com calma • Algoritmos criptográficos no Elastic Load Balancing (ELB) • Política de segurança automatizada • Múltiplas fontes para trilhas de auditoria • Inclua os parceiros o quanto antes
Próximos passos
Próximos passos • Reveja o quick start para PCI DSS • http://docs.aws.amazon.com/quickstart/latest/accelerator-pci/welcome.html • Construa uma arquitetura de referência para a sua empresa • Continue monitorando o escopo • Automatize controles bem entendidos
Obrigado!

Recomendados

Preparando sua arquitetura para microservicos
Preparando sua arquitetura para microservicosPreparando sua arquitetura para microservicos
Preparando sua arquitetura para microservicosBruno Luiz Pereira da Silva
 
Segurança
SegurançaSegurança
SegurançaAmazon Web Services LATAM
 
Reduza seu trabalho de gerenciamento do kubernetes tdc 2018 poa
Reduza seu trabalho de gerenciamento do kubernetes tdc 2018 poaReduza seu trabalho de gerenciamento do kubernetes tdc 2018 poa
Reduza seu trabalho de gerenciamento do kubernetes tdc 2018 poaFabio Hara
 
4 passos para a Transformação Digital
4 passos para a Transformação Digital4 passos para a Transformação Digital
4 passos para a Transformação DigitalBruno Luiz Pereira da Silva
 
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...Bravo Tecnologia
 
Azure DevTest Labs
Azure DevTest LabsAzure DevTest Labs
Azure DevTest LabsFabio Hara
 
Windows Azure Pack - Visão Geral
Windows Azure Pack - Visão GeralWindows Azure Pack - Visão Geral
Windows Azure Pack - Visão GeralFabio Hara
 
Arquiteturas escaláveis e tolerantes a falhas
Arquiteturas escaláveis e tolerantes a falhasArquiteturas escaláveis e tolerantes a falhas
Arquiteturas escaláveis e tolerantes a falhasBruno Luiz Pereira da Silva
 

Recomendados

Preparando sua arquitetura para microservicos
Preparando sua arquitetura para microservicosPreparando sua arquitetura para microservicos
Preparando sua arquitetura para microservicosBruno Luiz Pereira da Silva
 
Segurança
SegurançaSegurança
SegurançaAmazon Web Services LATAM
 
Reduza seu trabalho de gerenciamento do kubernetes tdc 2018 poa
Reduza seu trabalho de gerenciamento do kubernetes tdc 2018 poaReduza seu trabalho de gerenciamento do kubernetes tdc 2018 poa
Reduza seu trabalho de gerenciamento do kubernetes tdc 2018 poaFabio Hara
 
4 passos para a Transformação Digital
4 passos para a Transformação Digital4 passos para a Transformação Digital
4 passos para a Transformação DigitalBruno Luiz Pereira da Silva
 
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...
Barracuda Backup: Solução Completa de Proteção de Dados e Disaster Recovery I...Bravo Tecnologia
 
Azure DevTest Labs
Azure DevTest LabsAzure DevTest Labs
Azure DevTest LabsFabio Hara
 
Windows Azure Pack - Visão Geral
Windows Azure Pack - Visão GeralWindows Azure Pack - Visão Geral
Windows Azure Pack - Visão GeralFabio Hara
 
Arquiteturas escaláveis e tolerantes a falhas
Arquiteturas escaláveis e tolerantes a falhasArquiteturas escaláveis e tolerantes a falhas
Arquiteturas escaláveis e tolerantes a falhasBruno Luiz Pereira da Silva
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalFabio Hara
 
Segurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheirasSegurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheirasBruno Luiz Pereira da Silva
 
Microsoft Azure Advisor
Microsoft Azure AdvisorMicrosoft Azure Advisor
Microsoft Azure AdvisorFabio Hara
 
Windows Server 2016 | Hyperconvergência
Windows Server 2016 | HyperconvergênciaWindows Server 2016 | Hyperconvergência
Windows Server 2016 | HyperconvergênciaFabio Hara
 
Conteineres no Microsoft Azure
Conteineres no Microsoft AzureConteineres no Microsoft Azure
Conteineres no Microsoft AzureFabio Hara
 
DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...
DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...
DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...Bruno Luiz Pereira da Silva
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSignClavis Segurança da Informação
 
Integrando infraestruturas híbridas
Integrando infraestruturas híbridas Integrando infraestruturas híbridas
Integrando infraestruturas híbridas Amazon Web Services LATAM
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerAmazon Web Services LATAM
 
Azure Stack | Visão Geral
Azure Stack | Visão GeralAzure Stack | Visão Geral
Azure Stack | Visão GeralFabio Hara
 
Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Amazon Web Services LATAM
 
O que não vai mudar em 10 anos? A segurança como fator de inovação
O que não vai mudar em 10 anos? A segurança como fator de inovaçãoO que não vai mudar em 10 anos? A segurança como fator de inovação
O que não vai mudar em 10 anos? A segurança como fator de inovaçãoAmazon Web Services LATAM
 
TDC Floripa 2017 - Criando Microservices Reativos com Java
TDC Floripa 2017 - Criando Microservices Reativos com JavaTDC Floripa 2017 - Criando Microservices Reativos com Java
TDC Floripa 2017 - Criando Microservices Reativos com JavaRodrigo Cândido da Silva
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Clavis Segurança da Informação
 
VMware Virtual SAN 6: Storage definido por software radicalmente simples
VMware Virtual SAN 6: Storage definido por software radicalmente simplesVMware Virtual SAN 6: Storage definido por software radicalmente simples
VMware Virtual SAN 6: Storage definido por software radicalmente simplesBravo Tecnologia
 
Opções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvemOpções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvemFabio Hara
 
Lançamento do novo vSphere VMware 6.5
Lançamento do novo vSphere VMware 6.5Lançamento do novo vSphere VMware 6.5
Lançamento do novo vSphere VMware 6.5Bravo Tecnologia
 
Melhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingMelhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingDaniel Checchia
 
Descomplicando Service Mesh
Descomplicando Service MeshDescomplicando Service Mesh
Descomplicando Service MeshRoberto Alves
 
Adicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAdicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAmazon Web Services LATAM
 
Segurança de ponta a ponta na AWS
Segurança de ponta a ponta na AWSSegurança de ponta a ponta na AWS
Segurança de ponta a ponta na AWSAmazon Web Services LATAM
 
Segurança na Nuvem da AWS
Segurança na Nuvem da AWSSegurança na Nuvem da AWS
Segurança na Nuvem da AWSAmazon Web Services LATAM
 

Mais conteúdo relacionado

Mais procurados

Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalFabio Hara
 
Segurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheirasSegurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheirasBruno Luiz Pereira da Silva
 
Microsoft Azure Advisor
Microsoft Azure AdvisorMicrosoft Azure Advisor
Microsoft Azure AdvisorFabio Hara
 
Windows Server 2016 | Hyperconvergência
Windows Server 2016 | HyperconvergênciaWindows Server 2016 | Hyperconvergência
Windows Server 2016 | HyperconvergênciaFabio Hara
 
Conteineres no Microsoft Azure
Conteineres no Microsoft AzureConteineres no Microsoft Azure
Conteineres no Microsoft AzureFabio Hara
 
DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...
DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...
DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...Bruno Luiz Pereira da Silva
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerAmazon Web Services LATAM
 
Azure Stack | Visão Geral
Azure Stack | Visão GeralAzure Stack | Visão Geral
Azure Stack | Visão GeralFabio Hara
 
Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Amazon Web Services LATAM
 
O que não vai mudar em 10 anos? A segurança como fator de inovação
O que não vai mudar em 10 anos? A segurança como fator de inovaçãoO que não vai mudar em 10 anos? A segurança como fator de inovação
O que não vai mudar em 10 anos? A segurança como fator de inovaçãoAmazon Web Services LATAM
 
TDC Floripa 2017 - Criando Microservices Reativos com Java
TDC Floripa 2017 - Criando Microservices Reativos com JavaTDC Floripa 2017 - Criando Microservices Reativos com Java
TDC Floripa 2017 - Criando Microservices Reativos com JavaRodrigo Cândido da Silva
 
VMware Virtual SAN 6: Storage definido por software radicalmente simples
VMware Virtual SAN 6: Storage definido por software radicalmente simplesVMware Virtual SAN 6: Storage definido por software radicalmente simples
VMware Virtual SAN 6: Storage definido por software radicalmente simplesBravo Tecnologia
 
Opções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvemOpções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvemFabio Hara
 
Lançamento do novo vSphere VMware 6.5
Lançamento do novo vSphere VMware 6.5Lançamento do novo vSphere VMware 6.5
Lançamento do novo vSphere VMware 6.5Bravo Tecnologia
 
Melhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingMelhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingDaniel Checchia
 
Descomplicando Service Mesh
Descomplicando Service MeshDescomplicando Service Mesh
Descomplicando Service MeshRoberto Alves
 

Mais procurados (20)

Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-Final
 
Segurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheirasSegurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheiras
 
Microsoft Azure Advisor
Microsoft Azure AdvisorMicrosoft Azure Advisor
Microsoft Azure Advisor
 
Windows Server 2016 | Hyperconvergência
Windows Server 2016 | HyperconvergênciaWindows Server 2016 | Hyperconvergência
Windows Server 2016 | Hyperconvergência
 
Conteineres no Microsoft Azure
Conteineres no Microsoft AzureConteineres no Microsoft Azure
Conteineres no Microsoft Azure
 
DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...
DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...
DevOps, Chef, Puppet, Ansible e como vender milhões na Black Friday com 100% ...
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Integrando infraestruturas híbridas
Integrando infraestruturas híbridas Integrando infraestruturas híbridas
Integrando infraestruturas híbridas
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security Officer
 
Azure Stack | Visão Geral
Azure Stack | Visão GeralAzure Stack | Visão Geral
Azure Stack | Visão Geral
 
Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?
 
O que não vai mudar em 10 anos? A segurança como fator de inovação
O que não vai mudar em 10 anos? A segurança como fator de inovaçãoO que não vai mudar em 10 anos? A segurança como fator de inovação
O que não vai mudar em 10 anos? A segurança como fator de inovação
 
TDC Floripa 2017 - Criando Microservices Reativos com Java
TDC Floripa 2017 - Criando Microservices Reativos com JavaTDC Floripa 2017 - Criando Microservices Reativos com Java
TDC Floripa 2017 - Criando Microservices Reativos com Java
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
VMware Virtual SAN 6: Storage definido por software radicalmente simples
VMware Virtual SAN 6: Storage definido por software radicalmente simplesVMware Virtual SAN 6: Storage definido por software radicalmente simples
VMware Virtual SAN 6: Storage definido por software radicalmente simples
 
Opções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvemOpções de trabalho remoto na nuvem
Opções de trabalho remoto na nuvem
 
Lançamento do novo vSphere VMware 6.5
Lançamento do novo vSphere VMware 6.5Lançamento do novo vSphere VMware 6.5
Lançamento do novo vSphere VMware 6.5
 
Melhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingMelhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud Computing
 
Descomplicando Service Mesh
Descomplicando Service MeshDescomplicando Service Mesh
Descomplicando Service Mesh
 
Adicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAdicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAF
 

Semelhante a Protegendo informações críticas na nuvem: PCI DSS

Segurança na Nuvem AWS
Segurança na Nuvem AWSSegurança na Nuvem AWS
Segurança na Nuvem AWSMichel Pereira
 
WSO2 API Forum Brazil - Adotando APIs e Microserviços com Serverless
WSO2 API Forum Brazil - Adotando APIs e Microserviços com Serverless WSO2 API Forum Brazil - Adotando APIs e Microserviços com Serverless
WSO2 API Forum Brazil - Adotando APIs e Microserviços com Serverless WSO2
 
Módulo+10+-+Arquitetura+de+nuvem_nn+(1)_abcdpdf_pdf_para_ppt.pptx
Módulo+10+-+Arquitetura+de+nuvem_nn+(1)_abcdpdf_pdf_para_ppt.pptxMódulo+10+-+Arquitetura+de+nuvem_nn+(1)_abcdpdf_pdf_para_ppt.pptx
Módulo+10+-+Arquitetura+de+nuvem_nn+(1)_abcdpdf_pdf_para_ppt.pptxgetuliodasilvasantos
 
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAmazon Web Services LATAM
 
Um framework para a Transformaçao da TI e do Negócio
Um framework para a Transformaçao da TI e do Negócio Um framework para a Transformaçao da TI e do Negócio
Um framework para a Transformaçao da TI e do Negócio Amazon Web Services LATAM
 
CODECON Caminhos para Formação de um Arquiteto de Soluções em Nuvem
CODECON Caminhos para Formação de um Arquiteto de Soluções em NuvemCODECON Caminhos para Formação de um Arquiteto de Soluções em Nuvem
CODECON Caminhos para Formação de um Arquiteto de Soluções em NuvemWalter Coan
 
Vixteam IDEA 9 Data Analytics
Vixteam IDEA 9 Data AnalyticsVixteam IDEA 9 Data Analytics
Vixteam IDEA 9 Data AnalyticsVIXTEAM
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitAmazon Web Services
 
Otimização de Desempenho de Websites desenvolvidos em Microsoft ASP.NET e hos...
Otimização de Desempenho de Websites desenvolvidos em Microsoft ASP.NET e hos...Otimização de Desempenho de Websites desenvolvidos em Microsoft ASP.NET e hos...
Otimização de Desempenho de Websites desenvolvidos em Microsoft ASP.NET e hos...Rafael Schettino
 
Primeiros passos em computação em nuvem
Primeiros passos em computação em nuvemPrimeiros passos em computação em nuvem
Primeiros passos em computação em nuvemFilipe Barretto
 
Aspectos de segurança em bancos de dados para web
Aspectos de segurança em bancos de dados para webAspectos de segurança em bancos de dados para web
Aspectos de segurança em bancos de dados para webCriciúma Dev
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.Amazon Web Services LATAM
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.Amazon Web Services LATAM
 
Deep dive em aceleração de entrega de conteúdo, APIs e Aplicações utilizando ...
Deep dive em aceleração de entrega de conteúdo, APIs e Aplicações utilizando ...Deep dive em aceleração de entrega de conteúdo, APIs e Aplicações utilizando ...
Deep dive em aceleração de entrega de conteúdo, APIs e Aplicações utilizando ...Amazon Web Services LATAM
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
 
Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)Resource IT
 

Semelhante a Protegendo informações críticas na nuvem: PCI DSS (20)

Segurança de ponta a ponta na AWS
Segurança de ponta a ponta na AWSSegurança de ponta a ponta na AWS
Segurança de ponta a ponta na AWS
 
Segurança na Nuvem da AWS
Segurança na Nuvem da AWSSegurança na Nuvem da AWS
Segurança na Nuvem da AWS
 
Segurança na Nuvem AWS
Segurança na Nuvem AWSSegurança na Nuvem AWS
Segurança na Nuvem AWS
 
WSO2 API Forum Brazil - Adotando APIs e Microserviços com Serverless
WSO2 API Forum Brazil - Adotando APIs e Microserviços com Serverless WSO2 API Forum Brazil - Adotando APIs e Microserviços com Serverless
WSO2 API Forum Brazil - Adotando APIs e Microserviços com Serverless
 
Módulo+10+-+Arquitetura+de+nuvem_nn+(1)_abcdpdf_pdf_para_ppt.pptx
Módulo+10+-+Arquitetura+de+nuvem_nn+(1)_abcdpdf_pdf_para_ppt.pptxMódulo+10+-+Arquitetura+de+nuvem_nn+(1)_abcdpdf_pdf_para_ppt.pptx
Módulo+10+-+Arquitetura+de+nuvem_nn+(1)_abcdpdf_pdf_para_ppt.pptx
 
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
 
Um framework para a Transformaçao da TI e do Negócio
Um framework para a Transformaçao da TI e do Negócio Um framework para a Transformaçao da TI e do Negócio
Um framework para a Transformaçao da TI e do Negócio
 
CODECON Caminhos para Formação de um Arquiteto de Soluções em Nuvem
CODECON Caminhos para Formação de um Arquiteto de Soluções em NuvemCODECON Caminhos para Formação de um Arquiteto de Soluções em Nuvem
CODECON Caminhos para Formação de um Arquiteto de Soluções em Nuvem
 
Vixteam IDEA 9 Data Analytics
Vixteam IDEA 9 Data AnalyticsVixteam IDEA 9 Data Analytics
Vixteam IDEA 9 Data Analytics
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Otimização de Desempenho de Websites desenvolvidos em Microsoft ASP.NET e hos...
Otimização de Desempenho de Websites desenvolvidos em Microsoft ASP.NET e hos...Otimização de Desempenho de Websites desenvolvidos em Microsoft ASP.NET e hos...
Otimização de Desempenho de Websites desenvolvidos em Microsoft ASP.NET e hos...
 
Primeiros passos em computação em nuvem
Primeiros passos em computação em nuvemPrimeiros passos em computação em nuvem
Primeiros passos em computação em nuvem
 
IoT Frameworks
IoT FrameworksIoT Frameworks
IoT Frameworks
 
Aspectos de segurança em bancos de dados para web
Aspectos de segurança em bancos de dados para webAspectos de segurança em bancos de dados para web
Aspectos de segurança em bancos de dados para web
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
 
Deep dive em aceleração de entrega de conteúdo, APIs e Aplicações utilizando ...
Deep dive em aceleração de entrega de conteúdo, APIs e Aplicações utilizando ...Deep dive em aceleração de entrega de conteúdo, APIs e Aplicações utilizando ...
Deep dive em aceleração de entrega de conteúdo, APIs e Aplicações utilizando ...
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
 
Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)Azure Fundamentals (Intensivão Azure)
Azure Fundamentals (Intensivão Azure)
 

Mais de Amazon Web Services LATAM

AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAmazon Web Services LATAM
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAmazon Web Services LATAM
 
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAmazon Web Services LATAM
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAmazon Web Services LATAM
 
Automatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAutomatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAmazon Web Services LATAM
 
Automatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWSAutomatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWSAmazon Web Services LATAM
 
Ransomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWSRansomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWSAmazon Web Services LATAM
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSAmazon Web Services LATAM
 
Aprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWSAprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWSAmazon Web Services LATAM
 
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWSAprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWSAmazon Web Services LATAM
 
Cómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administradosCómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administradosAmazon Web Services LATAM
 
Os benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSOs benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSAmazon Web Services LATAM
 
Los beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWSLos beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWSAmazon Web Services LATAM
 

Mais de Amazon Web Services LATAM (20)

AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
 
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
 
Automatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAutomatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWS
 
Automatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWSAutomatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWS
 
Cómo empezar con Amazon EKS
Cómo empezar con Amazon EKSCómo empezar con Amazon EKS
Cómo empezar con Amazon EKS
 
Como começar com Amazon EKS
Como começar com Amazon EKSComo começar com Amazon EKS
Como começar com Amazon EKS
 
Ransomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWSRansomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWS
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWS
 
Ransomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoRansomware: Estratégias de Mitigação
Ransomware: Estratégias de Mitigação
 
Ransomware: Estratégias de Mitigación
Ransomware: Estratégias de MitigaciónRansomware: Estratégias de Mitigación
Ransomware: Estratégias de Mitigación
 
Aprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWSAprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWS
 
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWSAprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
 
Cómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administradosCómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administrados
 
Simplifique su BI con AWS
Simplifique su BI con AWSSimplifique su BI con AWS
Simplifique su BI con AWS
 
Simplifique o seu BI com a AWS
Simplifique o seu BI com a AWSSimplifique o seu BI com a AWS
Simplifique o seu BI com a AWS
 
Os benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSOs benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWS
 
Los beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWSLos beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWS
 
Bases de datos NoSQL en AWS
Bases de datos NoSQL en AWSBases de datos NoSQL en AWS
Bases de datos NoSQL en AWS
 

Protegendo informações críticas na nuvem: PCI DSS

  • 1. Protegendo informações críticas na nuvem: PCI DSS David Reis, Arquiteto de Soluções
  • 2. O que esperar desta sessão • Uma introdução rápida ao PCI • Dúvidas frequentes • Implementando controles PCI na AWS • Padrões de implementação
  • 4. Uma introdução rápida ao PCI • PCI DSS – Payment Card Industry Data Security Standard • PCI Council – PCISecurityStandards.org
  • 5. Uma introdução rápida ao PCI • Fundada pela cinco maiores marcas de cartão • American Express • Discover Financial Services • JCB International • MasterCard • Visa
  • 6. Uma introdução rápida ao PCI • Aplicada ao Primary Account Number – PAN • Aplicada quando você “armazena, processa ou transmite” PANs
  • 7. Uma introdução rápida ao PCI Níveis dos Comerciantes • NÍVEL 1: • > 6 milhões de transações por ano • Requer um QSA para validação • NÍVEL 2: • 1 a 6 milhões de transações por ano • Requer um QSA para validação • NÍVEIS 3 & 4: • < 1 milhão de transações por ano • Pode usar uma avaliação via SAQ Conhecer o seu nível é fundamental para obter a conformidade com o PCI efetivamente Requisitos v. Validação SAQ v. QSA
  • 9. Dúvidas Frequentes • “Há varias maneiras de arquitetar para atender a norma PCI” “Como eu sei se o meu auditor irá aceitar isto?”
  • 10. Dúvidas Frequentes Implicações para conformidade em uma estratégia “All in” na nuvem “Como embuto os requisitos de conformidade em projetos ágeis?” “Quais fornecedores preciso envolver neste processo?”
  • 11. Dúvidas Frequentes • Arquitetura de referência para conformidade • Endereçar as melhores práticas da AWS • Artefatos prontos para serem usados • Design personalizado e orientação detalhada
  • 12. Dúvidas Frequentes • Quick Starts • https://aws.amazon.com/quickstart/ • Orientação geral para casos de uso comuns • Disponíveis publicamente
  • 13. Dúvidas Frequentes • Aceleradores de conformidade para Enterprises • Engajamento do time de Professional Services • Playbooks de conformidade • Casos de uso complexos • Ambientes com controles únicos
  • 15. Implementando controles PCI Plataforma, Aplicações, Identidade & Controle de Acesso Configuração do Sistema Operacional, Rede & Firewall Encriptação do lado do cliente & Autenticação da integridade dos dados Lado do Servidor (Sistema de arquivos e/ou dados) Proteção do tráfego de rede, Encriptação, Integridade, Identidade Dados dos Clientes Armazena- mento Banco de Dados Rede Edge Locations Regiões Zonas de Disponibilidade Computação Infraestrutura Global Responsabilidade do Cliente Segurança na nuvem Responsabilidade da AWS Segurança da nuvem Modelo de Responsabilidade Compartilhada
  • 16. Implementando controles PCI Requirement AWS Responsibility Customer Responsibility Req. 1 Install and maintain a firewall configuration to protect cardholder data. Req. 2 Do not use supplier-supplied defaults for system passwords and other security parameters. Req. 3 Protect stored cardholder data. Req. 4 Encrypt transmission of cardholder data across open, public, networks Req. 5 Use and regularly update anti-virus software or programs. Req. 6 Develop and maintain secure systems and applications. Req. 7 Restrict access to cardholder data by business need-to-know. Req. 8 Assign a unique ID to each person with computer access. Req. 9 Restrict physical access to cardholder data. Req. 10 Track and monitor all access to network resources and cardholder data. Req. 11 Regularly test security systems and processes. Req. 12 Maintain a policy that addresses information security for employees and contractors.
  • 17. Implementando controles PCI Conformidade não é sinônimo de segurança.
  • 18. Implementando controles PCI • Cada aplicação PCI é única • Paridade e progresso • Paridade de proteção vs. Paridade de controle • Progredindo de manual e com etapas para automatizado e contínuo
  • 19. Implementando controles PCI • Controles precisam ser escolhidos baseados no risco • Por exemplo, requisito 6.6 do PCI DSS SE {aplicação web exposta na internet == Verdadeiro} ENTÃO Implementar WAF OU Realizar um teste web de penetração anualmente • Notificar a AWS antes de realizar um teste de penetração
  • 20. Implementando controles PCI • Fase 1 – Revisão geral do design • Fase 2 – Recomendações e matriz de fornecedores • Fase 3 – Playbook • Referências prontas para conformidade contínua
  • 21. Colocando os seus PANs na AWS Padrões de Implementação
  • 22. Padrões de Implementação • Credenciais das contas da AWS • Papéis com privilégio elevados • Baseadas em papéis – sudo • Autenticação usando múltiplos fatores (MFA) • Federação
  • 23. Padrões de Implementação NACL • Stateless • Use NACLs como barreiras de alto nível • Sub redes != Zonas de Segurança Security Groups • Stateful • Modelo em camadas • Monitorar mudanças • Procurar por anti-padrões comuns
  • 24. Padrões de Implementação VPC de Serviços Compartilhados • Logging e análise de logs • Identidade e autenticação • IAM roles e policies • DNS • Descoberta de serviços • Monitoração
  • 25. Padrões de Implementação Subrede de Serviços Compartilhados • Console de antivirus • Console de sistemas de detecção de intrusão baseados em host • Console de monitoração de integridade de arquivos • Scanners de vulnerabilidade • Console de WAF • Ferramentas para deployment
  • 26. Padrões de Implementação Recursos PCI dedicados • Maior isolamento • Menor peso de auditoria • Políticas IAM mais simples • Foco nos dados do cartão • Menor custo com licenciamento das ferramentas Recursos PCI compartilhados • Mais fácil de gerenciar • Baseline comum • Controle de acesso padronizado • Visão geral dos riscos • Eficiência operacional
  • 27. Padrões de Implementação Serviços AWS validados para PCI • Lista atualizada: https://aws.amazon.com/compliance /pci-dss-level-1-faqs/ • Cobre a infraestrutura física e lógica • Cobre os processos de operação e gerenciamento envolvidos na entrega do serviço • Não cobre casos de uso específicos Outros serviços da AWS • Envolva o seu arquiteto de soluções da AWS • Decida sobre o uso de um serviço considerando o risco • Verifique com o seu QSA • Arquitete para minimizar os seus riscos
  • 28. Padrões de Implementação Cheque com o seu QSA o quanto antes!
  • 29. Padrões de Implementação • Vá com calma • Network Time Protocol (NTP) • Acesso aos bastion hosts e sistemas operacionais (SO) • Server-side encryption (SSE) • Intrusion detection System/intrusion prevention System (IDS/IPS) – baseado em host vs. baseado em rede
  • 30. Padrões de Implementação • Vá com calma • Algoritmos criptográficos no Elastic Load Balancing (ELB) • Política de segurança automatizada • Múltiplas fontes para trilhas de auditoria • Inclua os parceiros o quanto antes
  • 32. Próximos passos • Reveja o quick start para PCI DSS • http://docs.aws.amazon.com/quickstart/latest/accelerator-pci/welcome.html • Construa uma arquitetura de referência para a sua empresa • Continue monitorando o escopo • Automatize controles bem entendidos

Notas do Editor

  1. Data security standard PCI DSS operado pelo PCI Council - Independent standard body PCI Council tem outras normas, mas vamos focar no DSS
  2. The reason of why pci is import is because of the founders
  3. The reason of why pci is import is because of the founders Applies to everyone - Pequenas lojas até grandes cadeias
  4. Numero do cartao do credito – PAN Senha – PIN Certificacao com escopo contaminante (entra no escopo) Tokenizar Complita refund
  5. A AWS esta vaildada para operar em qualquer um dos niveis
  6. Documentacao suplementar que podem ajudar Nao se aplicam no caso especifico
  7. Amazon is part of the board
  8. O que os clientes estao dando de feedback para a AWS
  9. Muitos servicos – mais de 90 de servicos Com este monte de servicos e diversas maneiras de junta-los corretamente Qual e a forma de usa-los que esteja em conformidade Como eu mostro as estrategias de mitigacao que estou usando Como eu mostro para o meu auditor que estou em conformidade QSA – Qualified security assessor
  10. Alguns clientes optaram por rodar totalmente na AWS Onde eu guardo as minhas trilhas de auditoria Uso os mesmos processos ou nao? Velocidade de deployment, CI , CD, Devops Tenho expertise em CI/CD, Devops Como fazer isto com PCI Meu auditor tem expertise em nuvem para me ajudar? Fornecedores Eles conseguem trabalhar com infra que e mutavel ou que escala
  11. Cloudformation template General guidance nao funciona para todos – ponto de vendas, processadoras de pagamentos, grandes empresas As necessidades sao diferentes
  12. A primeira solucao para os casos gerais Um cloudformation template que voce pode lancar na sua conta Documentacao adicional para ajudar a mostrar como os reuqisitos de conformidade sao atendidos
  13. Nos temos como preparer um playbook de conformidade Casos de uso complexo Clientes que sao parte de um stream de pagamento O time de professional services pode ajudar a preparar isto
  14. AWS calls it the “AWS Shared Responsibility Model” You the customer, are responsible for security in the cloud. AWS is responsible for security of the cloud. AWS is responsible for protecting the global infrastructure for services that run in the cloud… you are responsible for security that you use to protect your content, platform, applications, systems, and network. It is important for AWS customers to understand the responsibilities. This presents the shared responsibility model between you and AWS. This shared model can reduce your operational burden as AWS manages operates manages and controls the components from the host operation system and virtualization layer all the way down the physical security of the AWS facilities that host your applications. In turn, you assume responsibility of the management of the guest operating system including: updates and security patches, other associated application software, as welll as the application of built-in aws security features including: security groups, encryption, and ACLs.
  15. AWS calls it the “AWS Shared Responsibility Model” You the customer, are responsible for security in the cloud. AWS is responsible for security of the cloud. AWS is responsible for protecting the global infrastructure for services that run in the cloud… you are responsible for security that you use to protect your content, platform, applications, systems, and network. It is important for AWS customers to understand the responsibilities. This presents the shared responsibility model between you and AWS. This shared model can reduce your operational burden as AWS manages operates manages and controls the components from the host operation system and virtualization layer all the way down the physical security of the AWS facilities that host your applications. In turn, you assume responsibility of the management of the guest operating system including: updates and security patches, other associated application software, as welll as the application of built-in aws security features including: security groups, encryption, and ACLs.
  16. Politica de senha
  17. A norma e igual, mas a forma de atende-la e particular de cada aplicacao Cada aplicacao trata os dados de cartao de maneira diferente. Umas guardam o numero, outras transmitem, transformando o valor e mandando para outro lugar Os controles sao diferentes Nao e necessario replica exatamente os mesmos controles Preferir controles que podem ser automatizados Devops - Validar automaticamente os requisitos
  18. O controle permite escolher a forma de atender baseada na maneira de avaliar os riscos. Avisar seguranca AWS - Agendar o teste de penetracao
  19. O controle permite escolher a forma de atender baseada na maneira de avaliar os riscos. Avisar seguranca AWS - Agendar o teste de penetracao
  20. Em um implementacao tradicional
  21. Como o time de consultoria, aborda este tema Fase 1 – Como montar VPC Como monitorar logs Como controlar as contas Quantas contas Interar com o time Fase 2 – Identificar parceiros para ajudar a implementar os controles (antivirus) Fase 3 –
  22. Vou focar nos pontos que chamam a atencao dos auditores Usuarios nao precisam acessar o ambiente Segregar coisas importantes – poder para deletar bucket de log - Desligar o cloudtrail – seu auditor nao vai gostar se perder 3 meses de trilha de auditoria - Assume role para funcoes criticas Federacao – gerenciar novos funcionarios, saida de funcionarios ou troca de area. Evitar ter mecanismos diferentes para isto Falar de NACLS -desenho
  23. Segmentacao – requisito 0 Subnet e a forma tradicional de lidar com segmentacao – criar uma nova interface no fw, criar uma nova rede e rotear o dado pelo fw NACLs podem ser usadas como barreiras adicionais – nao devem entrar no detalhes de portas . Em caso de porblema na configuracao do SG o NACL e guard rails Na amazon temos security groups 3 redes – poderiamos usar 2 2 SG per tier or per instance 1st – para funcionar o servidor (NTP, DNS, logging) 2nd – tier focused – permitir trafego entre as camadas Automacao -Monitorar regras como 0.0.0.0/0 e um sinal de que algo esta errado Quais antipadroes?
  24. VPC de servicos compartilhados e comum em ambientes NO caso do PCI, uma subrede de servicos facilita Service discovery?? Shared subnet – especifico para PCI Voce pode relacionar o que vai na subrede com os controles do PCI Fica mais facil ter estes consoles proximos aos recusros que ele precisa proteger. Abrir porta para a tarefa Deployment tools Ter as ferramentas dentro Tem acesso privilegiado Um volume restrito de pessoas pode usar as ferramentas Homologar somente as necessarias
  25. VPC de servicos compartilhados e comum em ambientes NO caso do PCI, uma subrede de servicos facilita Service discovery?? Shared subnet – especifico para PCI Voce pode relacionar o que vai na subrede com os controles do PCI Fica mais facil ter estes consoles proximos aos recusros que ele precisa proteger. Abrir porta para a tarefa Deployment tools Ter as ferramentas dentro Tem acesso privilegiado Um volume restrito de pessoas pode usar as ferramentas Homologar somente as necessarias
  26. Recursos dedicados Menos pessoas acessando, mais facil de fazer o assessment IAM policies mais simples Recursos compartilhados (permitido, mas nao e o mais indicado) Se for um unico time Caveat – ter um baseline para todos os workloads Se usar o mesmo processo de deployment
  27. O cliente ainda tem que usar os servicos da maneira correta Se nao for homologado - Verificar se o uso vale a pena Falar com o arquiteto Falar com o QSA para verificar como usa-lo
  28. Falar com o seu qsa sobre usar um servico nao validado
  29. Clientes estao acostumados a usar um servidor interno para fornecer NTP (construidos e operados para atender o PCI) Se o seu expertise nao for em NTP ou nao quer fazer isto pode usar os enderecos de NTP oferecidos pelo DNS da AWS para o ntp.org Pode casar com os outros logs gerados pela AWS Bastion host padrao comum Minimizar superficie de ataque Implementar MFA para acessar Sistema Operacional Adicionais Session recording ou monitoracao de logs adicionais SSE Bom controle, facil habilitar, servicos de storage suportam SSE nao atende os requisitos para encriptacao precisa Complementar com sua solucao de criptografia (CloudHSM, KMS) IDS/IPS Nao precisa portar o seu network iPs/ids Clientes usam host based
  30. Nao e certo quanto tempo demorara para desabilitar os algoritmos inseguros O que fazer com os algoritmos legados ou aplicacoes legadas O ELB pode fazer o offload do TLS usando algoritmos seguros e ajudar a voce a atender os requisitos Tentar criar uma politica com permissao alta. Voce pode suspender o usuario ou ate que uma analise seja feita ELB, S3, CloudFront tem logs Tenha um Inventario de logs SIM - Avaliada diariamente Parceiros
  31. Construir uma arquitetura que atenda as suas necessidades Scope creep ocorre com frequencia pois aplicacoes mudam, leem dados diferntes, gravam em lugares diferentes Tem certeza que nao tera uma surpresa for avaliar. Automatize na sua jornada para PCI Quickstart Cloudfromation template Security control matrix https://docs.aws.amazon.com/quickstart/latest/accelerator-pci/welcome.html https://aws.amazon.com/pt/quickstart/architecture/accelerator-pci/