SlideShare uma empresa Scribd logo

PCI and PCI DSS Overview

Ulisses Castro
Ulisses Castro

O documento discute o Payment Council Industry Council (PCI Council), que estabelece controles de segurança para transações com cartões de crédito. O PCI Council criou três documentos que definem esses controles para diferentes audiências, cobrindo dados, aplicativos de pagamento e transações PIN. O documento também lista os principais motivadores e requisitos para adoção desses controles de segurança.

Tecnologia
1 de 16
Baixar para ler offline
PCI - Ulisses Castro, Gerente de Pesquisa e Desenvolvimento 1 Tuesday, September 27, 2011
Sobre o PCI O Payment Council Industry Council (PCI Council) foi criado em 2006 pelas bandeiras de cartão de crédito para estabelecer e gerenciar a aplicação de uma série de controles de segurança nas transações realizadas com este tipo de sistema. Hoje existem três documentos que concentram estes controles para diferentes audiências: PCI Data Security Standard: Define os controles para todas as empresas que aceitam pagamentos através de cartões com a distribuição de uma série de medidas em 12 requerimentos complementares Payment Application Data Security Standard: Estabelece os controles para as empresas que desenvolvem softwares utilizados no suporte para as transações realizadas com cartões PIN Transaction Security: Estabelece os controles para as empresas que desenvolvem o hardware utilizado no suporte para as transações realizadas com cartões 2 Tuesday, September 27, 2011
Os Motivadores Recorde: Em julho de 2011 o site DatalossDB bateu o recorde de incidentes com vazamento de dados, 90 incidentes foram registrados Cresce o número de incidentes: Dos 10 maiores incidentes envolvendo vazamento de cartões de créditos, apenas uma aconteceu antes de 2005 “Ativismo Hacker”: Uma onda de ataques a integridade e disponibilidade dos dados atualmente está em curso supostamente por reinvidicações e motivações políticas 3 Tuesday, September 27, 2011
Os Motivadores SONY PSN: Dados de 77 milhões de usuários foram comprometidos e prejuízos estimados em US$ 1.5 Bilhão Diginotar: Comprometimento de seus certificados o que levou a falência da empresa Dezenas de empresas brasileiros: Todos os dias empresas nacionais são comprometidas e não reportam aos seus clientes ou divulgam notas sobre os incidentes 4 Tuesday, September 27, 2011
Por que minha organização deve se preocupar? As bandeiras de cartões, comprometem-se a fornecer incentivos financeiros para quem estiver em conformidade e aplicar penalidades para os não-conformes Estar em conformidade pode ajudar a reduzir a responsabilidade em caso de perda de dados Uma análise adequada e um projeto apropriado de seus sistemas pode ajudá-lo a controlar melhor os dados de seus clientes e, conseqüentemente, ajudá-lo a melhorar o seu serviço de atendimento e satisfação ao cliente 5 Tuesday, September 27, 2011
Quando eu preciso contratar uma empresa certificada pelo PCI Council? ‣ A organização irá buscar suporte com as bandeiras e empresas especializadas nos controles para fazer avaliações anteriores ao processo de auditoria. Após a adequação de controles será necessário passar por uma auditoria com empresas certificadas pelo PCI Council ‣ Obs.: Não é necessário empresas certificadas para adequar controles, opte por empresas especializadas em cada controle e garanta a segregação entre quem implementa e a empresa auditora 6 Tuesday, September 27, 2011
Os Controles 7 Controles Requisitos Construir e manter uma rede segura 1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão 2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Proteger os dados do portador de cartão 3. Proteger os dados armazenados do portador do cartão 4.Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Manter um programa de gerenciamento de vulnerabilidades 5. Usar e atualizar regularmente o software ou programas antivírus 6. Desenvolver e manter sistemas e aplicativos seguros Tuesday, September 27, 2011
Os Controles 8 Controles Requisitos Implementar medidas de controle de acessos rigorosas 7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio 8. Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador 9. Restringir o acesso físico aos dados do titular do cartão Monitorar e testar as redes regularmente 10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão 11. Testar regularmente os sistemas e processos de segurança Manter uma política de segurança de informações 12. Manter uma política que aborde a segurança das informações para todas as equipes Tuesday, September 27, 2011
Os Dados do Titular do Cartão Estes são os dados que devem ser protegidos para atendimento ao padrão: 9 ‣ O número da conta principal (PAN) ‣ O nome do titular do cartão ‣ Data de Vencimento ‣ Código de serviço ‣ Dados em tarja magnética ou equivalente em chip ‣ CAV2/CVC2/CVV2/CID ‣ PINs/Bloqueios de PIN Tuesday, September 27, 2011
Porque e o que armazenar A primeira decisão é verificar se realmente é necessário armazenar os dados do titular do cartão. A melhor opção é não armazenar. O que pode ser armazenado (sobre rígido controle) O número da conta principal (PAN) O nome do titular do cartão Código de serviço Data de vencimento O que não pode ser armazenado Dados completos da tarja magnética CAV2/CVC2/CVV2/CID PIN/Bloqueio de PIN 10 Tuesday, September 27, 2011
Sobre a adoção de controles A adoção de controle segue os conceitos de tratamento de riscos, não exigindo que todos os controles sejam implementados O planejamento adequado evita o gasto com controles desnecessários evitando riscos ou adotando controles compensatórios Soluções prontas de hardware ou software sozinhas não atendem as necessidades de controles, é necessário processos claros e entendimento dos riscos 11 Tuesday, September 27, 2011
Maiores dificuldades Ausência de uma visão de gestão de riscos clara dificultando o desenho adequado dos controles Mudanças culturais relacionadas ao desenho e implementação de novos processos Conscientização e capacitação dos envolvidos no tratamento e custódia dos dados do titular do cartão 12 Tuesday, September 27, 2011
Recursos no site do PCI Council Glossário Planilha para auto-avaliação Navegando pelo PCI-DSS: Entendendo o porque dos controles https://pt.pcisecuritystandards.org/security_standards/ documents.php? category=supporting&document=pci_ssc_quick_guide# pci_ssc_quick_guide 13 Tuesday, September 27, 2011
A nossa especialidade Aqui eu vou inserir dados sobre os nossos serviços. J;a lhe mando na sequência 14 Tuesday, September 27, 2011
Conclusões A adoção de controles a operação da organização permite uma gestão de riscos adequada e benefícios diretos Passos para se adequar Conheça o padrão Busque auxílio com as bandeiras Adote controles efetivos e não busque apenas a conformidade Na dúvida consulte diretamente o PCI Council 15 Tuesday, September 27, 2011
16 Curitiba | Miami | São Paulo Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095-3986 Escritório Estados Unidos 8671 NW 56th Street, Suite B65 Doral, FL 33166 T (786) 382-0167 www.conviso.com.br Tuesday, September 27, 2011

Recomendados

Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Toni Hebert
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeVirtù Tecnológica
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001marcos.santosrs
 
Monitoramento e Avaliacao de Programas de Conformidade APOSTILA
Monitoramento e Avaliacao de Programas de Conformidade APOSTILAMonitoramento e Avaliacao de Programas de Conformidade APOSTILA
Monitoramento e Avaliacao de Programas de Conformidade APOSTILAGilberto C Porto
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 

Recomendados

Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Toni Hebert
 
Gerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeGerenciamento de Segurança em Dispositivos de Rede
Gerenciamento de Segurança em Dispositivos de RedeVirtù Tecnológica
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001marcos.santosrs
 
Monitoramento e Avaliacao de Programas de Conformidade APOSTILA
Monitoramento e Avaliacao de Programas de Conformidade APOSTILAMonitoramento e Avaliacao de Programas de Conformidade APOSTILA
Monitoramento e Avaliacao de Programas de Conformidade APOSTILAGilberto C Porto
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADOMONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADOWellington Monaco
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...Sidney Modenesi, MBCI
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
Auditoria de TI aplicado ao Desenvolvimento de Software
Auditoria de TI aplicado ao Desenvolvimento de SoftwareAuditoria de TI aplicado ao Desenvolvimento de Software
Auditoria de TI aplicado ao Desenvolvimento de SoftwareThiago Vidal
 
Consultoria em BCP
Consultoria em BCPConsultoria em BCP
Consultoria em BCPAllan Piter Pressi
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1Simba Samuel
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0Sidney Modenesi, MBCI
 
01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaatsPortal_do_Estudante_aud
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAlves Albert
 
Apresentação Corporativa SysValue
Apresentação Corporativa SysValueApresentação Corporativa SysValue
Apresentação Corporativa SysValueFilipe Rolo
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
GRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramento
GRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramentoGRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramento
GRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramentoGVianaBR
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002 Fernando Palma
 
Shield 2013
Shield 2013Shield 2013
Shield 2013Shield Consulting
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSSConviso Application Security
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Natalia Fernandes
 

Mais conteúdo relacionado

Mais procurados

ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADOMONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADOWellington Monaco
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...Sidney Modenesi, MBCI
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
Auditoria de TI aplicado ao Desenvolvimento de Software
Auditoria de TI aplicado ao Desenvolvimento de SoftwareAuditoria de TI aplicado ao Desenvolvimento de Software
Auditoria de TI aplicado ao Desenvolvimento de SoftwareThiago Vidal
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1Simba Samuel
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAlves Albert
 
Apresentação Corporativa SysValue
Apresentação Corporativa SysValueApresentação Corporativa SysValue
Apresentação Corporativa SysValueFilipe Rolo
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
GRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramento
GRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramentoGRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramento
GRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramentoGVianaBR
 

Mais procurados (20)

ISO 27001
ISO 27001ISO 27001
ISO 27001
 
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADOMONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
MONITORAÇÃO INTEGRADA - SOLUÇÃO DE FIREWALL - VALOR AGREGADO
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016
 
Auditoria de TI aplicado ao Desenvolvimento de Software
Auditoria de TI aplicado ao Desenvolvimento de SoftwareAuditoria de TI aplicado ao Desenvolvimento de Software
Auditoria de TI aplicado ao Desenvolvimento de Software
 
Consultoria em BCP
Consultoria em BCPConsultoria em BCP
Consultoria em BCP
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0
 
01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaats
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
 
Apresentação Corporativa SysValue
Apresentação Corporativa SysValueApresentação Corporativa SysValue
Apresentação Corporativa SysValue
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
GRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramento
GRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramentoGRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramento
GRUPO VIANA - ABRASEL PR - LEI 14.052 - Sistema de monitoramento
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Shield 2013
Shield 2013Shield 2013
Shield 2013
 

Semelhante a PCI and PCI DSS Overview

Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Natalia Fernandes
 
Curso PCI DSS - Overview
Curso PCI DSS - OverviewCurso PCI DSS - Overview
Curso PCI DSS - OverviewData Security
 
Identidade, Segurança e Governança
Identidade, Segurança e GovernançaIdentidade, Segurança e Governança
Identidade, Segurança e GovernançaVirtù Tecnológica
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Business intelligence
Business intelligenceBusiness intelligence
Business intelligenceAdolfo Neto
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Symantec Brasil
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...TECSI FEA USP
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da InformaçãoAllan Piter Pressi
 
Apresentação Sbseg 2009
Apresentação Sbseg 2009Apresentação Sbseg 2009
Apresentação Sbseg 2009Juliano Dapper
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Edson Aguilera-Fernandes
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
 
Um Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSSUm Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSSJuliano Dapper
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geralTiago Andrade
 
ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...
ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...
ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...CADWARE-TECHNOLOGY
 
CPqD Antifraude - Setor Financeiro
CPqD Antifraude - Setor FinanceiroCPqD Antifraude - Setor Financeiro
CPqD Antifraude - Setor FinanceiroMauricio Casotti
 

Semelhante a PCI and PCI DSS Overview (20)

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800
 
Curso PCI DSS - Overview
Curso PCI DSS - OverviewCurso PCI DSS - Overview
Curso PCI DSS - Overview
 
Identidade, Segurança e Governança
Identidade, Segurança e GovernançaIdentidade, Segurança e Governança
Identidade, Segurança e Governança
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Business intelligence
Business intelligenceBusiness intelligence
Business intelligence
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
Be Aware Webinar - Se sua conformidade é temporária, então você não está conf...
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da Informação
 
Apresentação Sbseg 2009
Apresentação Sbseg 2009Apresentação Sbseg 2009
Apresentação Sbseg 2009
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Um Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSSUm Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSS
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geral
 
ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...
ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...
ProIndústria 2017 - A10 - Como viabilizar plataformas virtuais de tecnologia ...
 
CPqD Antifraude - Setor Financeiro
CPqD Antifraude - Setor FinanceiroCPqD Antifraude - Setor Financeiro
CPqD Antifraude - Setor Financeiro
 

PCI and PCI DSS Overview

  • 1. PCI - Ulisses Castro, Gerente de Pesquisa e Desenvolvimento 1 Tuesday, September 27, 2011
  • 2. Sobre o PCI O Payment Council Industry Council (PCI Council) foi criado em 2006 pelas bandeiras de cartão de crédito para estabelecer e gerenciar a aplicação de uma série de controles de segurança nas transações realizadas com este tipo de sistema. Hoje existem três documentos que concentram estes controles para diferentes audiências: PCI Data Security Standard: Define os controles para todas as empresas que aceitam pagamentos através de cartões com a distribuição de uma série de medidas em 12 requerimentos complementares Payment Application Data Security Standard: Estabelece os controles para as empresas que desenvolvem softwares utilizados no suporte para as transações realizadas com cartões PIN Transaction Security: Estabelece os controles para as empresas que desenvolvem o hardware utilizado no suporte para as transações realizadas com cartões 2 Tuesday, September 27, 2011
  • 3. Os Motivadores Recorde: Em julho de 2011 o site DatalossDB bateu o recorde de incidentes com vazamento de dados, 90 incidentes foram registrados Cresce o número de incidentes: Dos 10 maiores incidentes envolvendo vazamento de cartões de créditos, apenas uma aconteceu antes de 2005 “Ativismo Hacker”: Uma onda de ataques a integridade e disponibilidade dos dados atualmente está em curso supostamente por reinvidicações e motivações políticas 3 Tuesday, September 27, 2011
  • 4. Os Motivadores SONY PSN: Dados de 77 milhões de usuários foram comprometidos e prejuízos estimados em US$ 1.5 Bilhão Diginotar: Comprometimento de seus certificados o que levou a falência da empresa Dezenas de empresas brasileiros: Todos os dias empresas nacionais são comprometidas e não reportam aos seus clientes ou divulgam notas sobre os incidentes 4 Tuesday, September 27, 2011
  • 5. Por que minha organização deve se preocupar? As bandeiras de cartões, comprometem-se a fornecer incentivos financeiros para quem estiver em conformidade e aplicar penalidades para os não-conformes Estar em conformidade pode ajudar a reduzir a responsabilidade em caso de perda de dados Uma análise adequada e um projeto apropriado de seus sistemas pode ajudá-lo a controlar melhor os dados de seus clientes e, conseqüentemente, ajudá-lo a melhorar o seu serviço de atendimento e satisfação ao cliente 5 Tuesday, September 27, 2011
  • 6. Quando eu preciso contratar uma empresa certificada pelo PCI Council? ‣ A organização irá buscar suporte com as bandeiras e empresas especializadas nos controles para fazer avaliações anteriores ao processo de auditoria. Após a adequação de controles será necessário passar por uma auditoria com empresas certificadas pelo PCI Council ‣ Obs.: Não é necessário empresas certificadas para adequar controles, opte por empresas especializadas em cada controle e garanta a segregação entre quem implementa e a empresa auditora 6 Tuesday, September 27, 2011
  • 7. Os Controles 7 Controles Requisitos Construir e manter uma rede segura 1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão 2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Proteger os dados do portador de cartão 3. Proteger os dados armazenados do portador do cartão 4.Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Manter um programa de gerenciamento de vulnerabilidades 5. Usar e atualizar regularmente o software ou programas antivírus 6. Desenvolver e manter sistemas e aplicativos seguros Tuesday, September 27, 2011
  • 8. Os Controles 8 Controles Requisitos Implementar medidas de controle de acessos rigorosas 7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio 8. Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador 9. Restringir o acesso físico aos dados do titular do cartão Monitorar e testar as redes regularmente 10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão 11. Testar regularmente os sistemas e processos de segurança Manter uma política de segurança de informações 12. Manter uma política que aborde a segurança das informações para todas as equipes Tuesday, September 27, 2011
  • 9. Os Dados do Titular do Cartão Estes são os dados que devem ser protegidos para atendimento ao padrão: 9 ‣ O número da conta principal (PAN) ‣ O nome do titular do cartão ‣ Data de Vencimento ‣ Código de serviço ‣ Dados em tarja magnética ou equivalente em chip ‣ CAV2/CVC2/CVV2/CID ‣ PINs/Bloqueios de PIN Tuesday, September 27, 2011
  • 10. Porque e o que armazenar A primeira decisão é verificar se realmente é necessário armazenar os dados do titular do cartão. A melhor opção é não armazenar. O que pode ser armazenado (sobre rígido controle) O número da conta principal (PAN) O nome do titular do cartão Código de serviço Data de vencimento O que não pode ser armazenado Dados completos da tarja magnética CAV2/CVC2/CVV2/CID PIN/Bloqueio de PIN 10 Tuesday, September 27, 2011
  • 11. Sobre a adoção de controles A adoção de controle segue os conceitos de tratamento de riscos, não exigindo que todos os controles sejam implementados O planejamento adequado evita o gasto com controles desnecessários evitando riscos ou adotando controles compensatórios Soluções prontas de hardware ou software sozinhas não atendem as necessidades de controles, é necessário processos claros e entendimento dos riscos 11 Tuesday, September 27, 2011
  • 12. Maiores dificuldades Ausência de uma visão de gestão de riscos clara dificultando o desenho adequado dos controles Mudanças culturais relacionadas ao desenho e implementação de novos processos Conscientização e capacitação dos envolvidos no tratamento e custódia dos dados do titular do cartão 12 Tuesday, September 27, 2011
  • 13. Recursos no site do PCI Council Glossário Planilha para auto-avaliação Navegando pelo PCI-DSS: Entendendo o porque dos controles https://pt.pcisecuritystandards.org/security_standards/ documents.php? category=supporting&document=pci_ssc_quick_guide# pci_ssc_quick_guide 13 Tuesday, September 27, 2011
  • 14. A nossa especialidade Aqui eu vou inserir dados sobre os nossos serviços. J;a lhe mando na sequência 14 Tuesday, September 27, 2011
  • 15. Conclusões A adoção de controles a operação da organização permite uma gestão de riscos adequada e benefícios diretos Passos para se adequar Conheça o padrão Busque auxílio com as bandeiras Adote controles efetivos e não busque apenas a conformidade Na dúvida consulte diretamente o PCI Council 15 Tuesday, September 27, 2011
  • 16. 16 Curitiba | Miami | São Paulo Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095-3986 Escritório Estados Unidos 8671 NW 56th Street, Suite B65 Doral, FL 33166 T (786) 382-0167 www.conviso.com.br Tuesday, September 27, 2011