O documento discute o Payment Council Industry Council (PCI Council), que estabelece controles de segurança para transações com cartões de crédito. O PCI Council criou três documentos que definem esses controles para diferentes audiências, cobrindo dados, aplicativos de pagamento e transações PIN. O documento também lista os principais motivadores e requisitos para adoção desses controles de segurança.
1. PCI -
Ulisses Castro, Gerente de Pesquisa e Desenvolvimento
1
Tuesday, September 27, 2011
2. Sobre o PCI
O Payment Council Industry Council (PCI Council) foi criado em 2006 pelas bandeiras
de cartão de crédito para estabelecer e gerenciar a aplicação de uma série de controles
de segurança nas transações realizadas com este tipo de sistema. Hoje existem três
documentos que concentram estes controles para diferentes audiências:
PCI Data Security Standard: Define os controles para todas as empresas que
aceitam pagamentos através de cartões com a distribuição de uma série de
medidas em 12 requerimentos complementares
Payment Application Data Security Standard: Estabelece os controles para as
empresas que desenvolvem softwares utilizados no suporte para as transações
realizadas com cartões
PIN Transaction Security: Estabelece os controles para as empresas que
desenvolvem o hardware utilizado no suporte para as transações realizadas
com cartões
2
Tuesday, September 27, 2011
3. Os Motivadores
Recorde: Em julho de 2011 o site DatalossDB bateu o
recorde de incidentes com vazamento de dados, 90
incidentes foram registrados
Cresce o número de incidentes: Dos 10 maiores
incidentes envolvendo vazamento de cartões de créditos,
apenas uma aconteceu antes de 2005
“Ativismo Hacker”: Uma onda de ataques a integridade e
disponibilidade dos dados atualmente está em curso
supostamente por reinvidicações e motivações políticas
3
Tuesday, September 27, 2011
4. Os Motivadores
SONY PSN: Dados de 77 milhões de usuários foram
comprometidos e prejuízos estimados em US$ 1.5 Bilhão
Diginotar: Comprometimento de seus certificados o que
levou a falência da empresa
Dezenas de empresas brasileiros: Todos os dias
empresas nacionais são comprometidas e não reportam
aos seus clientes ou divulgam notas sobre os incidentes
4
Tuesday, September 27, 2011
5. Por que minha organização deve se
preocupar?
As bandeiras de cartões, comprometem-se a fornecer
incentivos financeiros para quem estiver em conformidade
e aplicar penalidades para os não-conformes
Estar em conformidade pode ajudar a reduzir a
responsabilidade em caso de perda de dados
Uma análise adequada e um projeto apropriado de seus
sistemas pode ajudá-lo a controlar melhor os dados de
seus clientes e, conseqüentemente, ajudá-lo a melhorar o
seu serviço de atendimento e satisfação ao cliente
5
Tuesday, September 27, 2011
6. Quando eu preciso contratar uma
empresa certificada pelo PCI Council?
‣ A organização irá buscar suporte com as bandeiras e
empresas especializadas nos controles para fazer avaliações
anteriores ao processo de auditoria. Após a adequação de
controles será necessário passar por uma auditoria com
empresas certificadas pelo PCI Council
‣ Obs.: Não é necessário empresas certificadas para adequar
controles, opte por empresas especializadas em cada
controle e garanta a segregação entre quem implementa e
a empresa auditora
6
Tuesday, September 27, 2011
7. Os Controles
7
Controles Requisitos
Construir e manter uma
rede segura
1. Instalar e manter uma configuração de firewall para
proteger os dados do titular do cartão
2. Não usar padrões disponibilizados pelo fornecedor para
senhas do sistema e outros parâmetros de segurança
Proteger os dados do
portador de cartão
3. Proteger os dados armazenados do portador do cartão
4.Criptografar a transmissão dos dados do titular do cartão
em redes abertas e públicas
Manter um programa de
gerenciamento de
vulnerabilidades
5. Usar e atualizar regularmente o software ou programas
antivírus
6. Desenvolver e manter sistemas e aplicativos seguros
Tuesday, September 27, 2011
8. Os Controles
8
Controles Requisitos
Implementar medidas de
controle de acessos
rigorosas
7. Restringir o acesso aos dados do titular do cartão de
acordo com a necessidade de conhecimento para o
negócio
8. Atribuir uma identidade exclusiva para cada pessoa que
tenha acesso ao computador
9. Restringir o acesso físico aos dados do titular do cartão
Monitorar e testar as
redes regularmente
10. Acompanhar e monitorar todos os acessos com relação
aos recursos da rede e aos dados do titular do cartão
11. Testar regularmente os sistemas e processos de
segurança
Manter uma política de
segurança de
informações
12. Manter uma política que aborde a segurança das
informações para todas as equipes
Tuesday, September 27, 2011
9. Os Dados do Titular do Cartão
Estes são os dados que devem ser protegidos para atendimento ao
padrão:
9
‣ O número da conta principal
(PAN)
‣ O nome do titular do cartão
‣ Data de Vencimento
‣ Código de serviço
‣ Dados em tarja magnética
ou equivalente em chip
‣ CAV2/CVC2/CVV2/CID
‣ PINs/Bloqueios de PIN
Tuesday, September 27, 2011
10. Porque e o que armazenar
A primeira decisão é verificar se realmente é necessário armazenar os dados do titular do cartão. A
melhor opção é não armazenar.
O que pode ser armazenado (sobre rígido controle)
O número da conta principal (PAN)
O nome do titular do cartão
Código de serviço
Data de vencimento
O que não pode ser armazenado
Dados completos da tarja magnética
CAV2/CVC2/CVV2/CID
PIN/Bloqueio de PIN
10
Tuesday, September 27, 2011
11. Sobre a adoção de controles
A adoção de controle segue os conceitos de tratamento de riscos,
não exigindo que todos os controles sejam implementados
O planejamento adequado evita o gasto com controles
desnecessários evitando riscos ou adotando controles
compensatórios
Soluções prontas de hardware ou software sozinhas não atendem
as necessidades de controles, é necessário processos claros e
entendimento dos riscos
11
Tuesday, September 27, 2011
12. Maiores dificuldades
Ausência de uma visão de gestão de riscos clara dificultando o
desenho adequado dos controles
Mudanças culturais relacionadas ao desenho e implementação de
novos processos
Conscientização e capacitação dos envolvidos no tratamento e
custódia dos dados do titular do cartão
12
Tuesday, September 27, 2011
13. Recursos no site do PCI Council
Glossário
Planilha para auto-avaliação
Navegando pelo PCI-DSS: Entendendo o porque dos
controles
https://pt.pcisecuritystandards.org/security_standards/
documents.php?
category=supporting&document=pci_ssc_quick_guide#
pci_ssc_quick_guide
13
Tuesday, September 27, 2011
14. A nossa especialidade
Aqui eu vou inserir dados sobre os nossos
serviços. J;a lhe mando na sequência
14
Tuesday, September 27, 2011
15. Conclusões
A adoção de controles a operação da organização permite uma gestão
de riscos adequada e benefícios diretos
Passos para se adequar
Conheça o padrão
Busque auxílio com as bandeiras
Adote controles efetivos e não busque apenas a conformidade
Na dúvida consulte diretamente o PCI Council
15
Tuesday, September 27, 2011
16. 16
Curitiba | Miami | São Paulo
Escritório Central
Rua Marechal Hermes 678 CJ 32
CEP 80530-230, Curitiba, PR
T (41) 3095-3986
Escritório Estados Unidos
8671 NW 56th Street, Suite B65
Doral, FL 33166
T (786) 382-0167
www.conviso.com.br
Tuesday, September 27, 2011