PCI and PCI DSS Overview
-
Upload
ulisses-castro -
Category
Technology
-
view
117 -
download
2
Transcript of PCI and PCI DSS Overview
PCI - Ulisses Castro, Gerente de Pesquisa e Desenvolvimento
1
Tuesday, September 27, 2011
Sobre o PCI
O Payment Council Industry Council (PCI Council) foi criado em 2006 pelas bandeiras de cartão de crédito para estabelecer e gerenciar a aplicação de uma série de controles de segurança nas transações realizadas com este tipo de sistema. Hoje existem três documentos que concentram estes controles para diferentes audiências:
PCI Data Security Standard: Define os controles para todas as empresas que aceitam pagamentos através de cartões com a distribuição de uma série de medidas em 12 requerimentos complementares
Payment Application Data Security Standard: Estabelece os controles para as empresas que desenvolvem softwares utilizados no suporte para as transações realizadas com cartões
PIN Transaction Security: Estabelece os controles para as empresas que desenvolvem o hardware utilizado no suporte para as transações realizadas com cartões
2
Tuesday, September 27, 2011
Os Motivadores
Recorde: Em julho de 2011 o site DatalossDB bateu o recorde de incidentes com vazamento de dados, 90 incidentes foram registrados
Cresce o número de incidentes: Dos 10 maiores incidentes envolvendo vazamento de cartões de créditos, apenas uma aconteceu antes de 2005
“Ativismo Hacker”: Uma onda de ataques a integridade e disponibilidade dos dados atualmente está em curso supostamente por reinvidicações e motivações políticas
3
Tuesday, September 27, 2011
Os Motivadores
SONY PSN: Dados de 77 milhões de usuários foram comprometidos e prejuízos estimados em US$ 1.5 Bilhão
Diginotar: Comprometimento de seus certificados o que levou a falência da empresa
Dezenas de empresas brasileiros: Todos os dias empresas nacionais são comprometidas e não reportam aos seus clientes ou divulgam notas sobre os incidentes
4
Tuesday, September 27, 2011
Por que minha organização deve se preocupar?
As bandeiras de cartões, comprometem-se a fornecer incentivos financeiros para quem estiver em conformidade e aplicar penalidades para os não-conformes
Estar em conformidade pode ajudar a reduzir a responsabilidade em caso de perda de dados
Uma análise adequada e um projeto apropriado de seus sistemas pode ajudá-lo a controlar melhor os dados de seus clientes e, conseqüentemente, ajudá-lo a melhorar o seu serviço de atendimento e satisfação ao cliente
5
Tuesday, September 27, 2011
Quando eu preciso contratar uma empresa certificada pelo PCI Council?
‣ A organização irá buscar suporte com as bandeiras e empresas especializadas nos controles para fazer avaliações anteriores ao processo de auditoria. Após a adequação de controles será necessário passar por uma auditoria com empresas certificadas pelo PCI Council
‣ Obs.: Não é necessário empresas certificadas para adequar controles, opte por empresas especializadas em cada controle e garanta a segregação entre quem implementa e a empresa auditora
6
Tuesday, September 27, 2011
Os Controles
7
Controles Requisitos
Construir e manter uma rede segura
1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão
2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança
Proteger os dados do portador de cartão
3. Proteger os dados armazenados do portador do cartão4. Criptografar a transmissão dos dados do titular do cartão
em redes abertas e públicas
Manter um programa de gerenciamento de vulnerabilidades
5. Usar e atualizar regularmente o software ou programas antivírus
6. Desenvolver e manter sistemas e aplicativos seguros
Tuesday, September 27, 2011
Os Controles
8
Controles Requisitos
Implementar medidas de controle de acessos rigorosas
7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o
negócio8. Atribuir uma identidade exclusiva para cada pessoa que
tenha acesso ao computador9. Restringir o acesso físico aos dados do titular do cartão
Monitorar e testar as redes regularmente
10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão
11. Testar regularmente os sistemas e processos de segurança
Manter uma política de segurança de informações
12. Manter uma política que aborde a segurança das informações para todas as equipes
Tuesday, September 27, 2011
Os Dados do Titular do Cartão
Estes são os dados que devem ser protegidos para atendimento ao padrão:
9
‣ O número da conta principal (PAN)
‣ O nome do titular do cartão
‣ Data de Vencimento
‣ Código de serviço
‣ Dados em tarja magnética ou equivalente em chip
‣ CAV2/CVC2/CVV2/CID
‣ PINs/Bloqueios de PIN
Tuesday, September 27, 2011
Porque e o que armazenar
A primeira decisão é verificar se realmente é necessário armazenar os dados do titular do cartão. A melhor opção é não armazenar.
O que pode ser armazenado (sobre rígido controle)
O número da conta principal (PAN)
O nome do titular do cartão
Código de serviço
Data de vencimento
O que não pode ser armazenado
Dados completos da tarja magnética
CAV2/CVC2/CVV2/CID
PIN/Bloqueio de PIN
10
Tuesday, September 27, 2011
Sobre a adoção de controles
A adoção de controle segue os conceitos de tratamento de riscos, não exigindo que todos os controles sejam implementados
O planejamento adequado evita o gasto com controles desnecessários evitando riscos ou adotando controles compensatórios
Soluções prontas de hardware ou software sozinhas não atendem as necessidades de controles, é necessário processos claros e entendimento dos riscos
11
Tuesday, September 27, 2011
Maiores dificuldades
Ausência de uma visão de gestão de riscos clara dificultando o desenho adequado dos controles
Mudanças culturais relacionadas ao desenho e implementação de novos processos
Conscientização e capacitação dos envolvidos no tratamento e custódia dos dados do titular do cartão
12
Tuesday, September 27, 2011
Recursos no site do PCI Council
Glossário
Planilha para auto-avaliação
Navegando pelo PCI-DSS: Entendendo o porque dos controles
https://pt.pcisecuritystandards.org/security_standards/documents.php?category=supporting&document=pci_ssc_quick_guide#pci_ssc_quick_guide
13
Tuesday, September 27, 2011
A nossa especialidade
Aqui eu vou inserir dados sobre os nossos serviços. J;a lhe mando na sequência
14
Tuesday, September 27, 2011
Conclusões
A adoção de controles a operação da organização permite uma gestão de riscos adequada e benefícios diretos
Passos para se adequar
Conheça o padrão
Busque auxílio com as bandeiras
Adote controles efetivos e não busque apenas a conformidade
Na dúvida consulte diretamente o PCI Council
15
Tuesday, September 27, 2011
16
Curitiba | Miami | São Paulo
Escritório CentralRua Marechal Hermes 678 CJ 32CEP 80530-230, Curitiba, PRT (41) 3095-3986
Escritório Estados Unidos8671 NW 56th Street, Suite B65Doral, FL 33166T (786) 382-0167
www.conviso.com.br
Tuesday, September 27, 2011