Trabalhei no setor de pagamentos como administrador de sistema por mais de 15 anos e passei grande parte de minha carreira trabalhando com a conformidade do setor de cartões de pagamento, que se refere a requisitos de segurança envolvendo empresas que lidam com dados de cartão de crédito.
VEJO: Violação de senha: por que cultura pop e senhas não combinam (PDF gratuito) (TechRepublic)
A conformidade com o PCI é um campo muito complexo com diretrizes sob as quais as organizações neste setor são obrigadas a aderir para ter permissão para lidar com o processamento de pagamentos.
O que é conformidade com PCI?
A conformidade com o PCI é uma estrutura baseada em requisitos exigidos pelo Payment Card Industry Security Standards Council para garantir que todas as empresas que processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente operacional seguro para proteger seus negócios, clientes e dados confidenciais.
As diretrizes, conhecidas como Padrão de segurança de dados da indústria de cartões de pagamento, surgiram em 7 de setembro de 2006 e envolvem diretamente todas as principais empresas de cartão de crédito.
O PCI SSC foi criado pela Visa, MasterCard, American Express, Discover e Japan Credit Bureau para administrar e gerenciar o PCI DSS. As empresas que aderem ao PCI DSS têm conformidade confirmada com o PCI e, portanto, são confiáveis para realizar negócios.
Todos os comerciantes que processam mais de 1 milhão ou 6 milhões de transações com cartão de pagamento todos os anos e provedores de serviços que retêm, transmitem ou processam mais de 300.000 transações com cartões todos os anos devem ser auditados quanto à conformidade com o PCI DSS. O escopo deste artigo é destinado às empresas sujeitas a esta auditoria anual.
Vale a pena notar que a conformidade com o PCI não garante contra violações de dados, assim como uma casa em conformidade com os regulamentos de incêndio é totalmente segura contra um incêndio. Significa simplesmente que as operações da empresa são certificadas em conformidade com rígidos padrões de segurança, dando a essas organizações a melhor proteção possível contra ameaças para produzir o mais alto nível de confiança entre sua base de clientes, bem como os requisitos regulamentares.
O não cumprimento dos requisitos do PCI pode resultar em pesadas penalidades financeiras de US$ 5.000 a US$ 100.000 por mês. As empresas que estão em conformidade e enfrentam violações de dados podem enfrentar multas significativamente reduzidas no rescaldo.
14 melhores práticas de PCI para o seu negócio
1. Conheça o ambiente de dados do titular do cartão e documente tudo o que puder
Não pode haver surpresas quando se trata de cumprir o PCI; todos os sistemas, redes e recursos devem ser minuciosamente analisados e documentados. A última coisa que você quer é um servidor desconhecido operando em algum lugar ou uma série de contas misteriosas.
2. Seja proativo em sua abordagem e implemente políticas de segurança em todos os setores
É um grande erro abordar a segurança de conformidade com PCI como algo a ser “adicionado” ou aplicado conforme necessário, quando solicitado. Os conceitos devem ser inseridos em todo o ambiente por padrão. Elementos como exigir autenticação multifator para ambientes de produção, utilizar https em vez de http e ssh em vez de telnet e exigir alterações periódicas de senha devem ser aplicados com antecedência. Quanto mais preocupada com a segurança for sua organização, menos trabalho precisará ser feito após a conclusão do tempo de auditoria.
3. Realizar verificações de antecedentes dos funcionários que lidam com os dados do titular do cartão
Todos os funcionários em potencial devem ser examinados minuciosamente, incluindo verificação de antecedentes para aqueles que trabalharão com os dados do titular do cartão, seja diretamente ou em uma posição administrativa ou de suporte. Qualquer candidato com uma acusação grave em seu registro deve ser rejeitado para o emprego, especialmente se envolver crimes financeiros ou roubo de identidade.
4. Implemente uma autoridade de segurança cibernética centralizada
Para melhor conformidade com o PCI, você precisa de um órgão centralizado para servir como autoridade de tomada de decisão para todos os esforços de implementação, gerenciamento e remediação. Normalmente são os departamentos de TI e/ou segurança cibernética, que devem ser formados por funcionários treinados nessa área e conhecedores dos requisitos do PCI.
5. Implemente fortes controles ambientais de segurança
Em geral, você deve usar controles de segurança fortes em todos os elementos possíveis que lidam com os sistemas de dados do titular do cartão. Usar firewallsNAT, sub-redes segmentadas, software anti-malware, senhas complexas (não use senhas padrão do sistema), criptografia e tokenização para proteger os dados do titular do cartão.
Como dica adicional, use um escopo tão limitado quanto possível para sistemas de dados do titular do cartão, redes dedicadas e recursos para minimizar o esforço envolvido na proteção de um conjunto mínimo de recursos possível.
Por exemplo, não permita que as contas de desenvolvimento tenham acesso à produção (ou vice-versa), pois agora o ambiente de desenvolvimento é considerado no escopo e está sujeito a maior segurança.
6. Implemente o acesso com privilégios mínimos necessários
Use contas de usuário dedicadas ao realizar trabalho administrativo em sistemas de titulares de cartão, não contas de administrador root ou de domínio. Certifique-se de que apenas o mínimo de acesso seja concedido aos usuários, mesmo aqueles em funções de administrador. Sempre que possível, faça com que eles confiem em “contas de nível de usuário” e “contas privilegiadas” separadas, que são usadas apenas para executar tarefas de nível de privilégio elevado.
7. Implementar registro, monitoramento e alerta
Todos os sistemas devem contar com o registro de dados operacionais e de acesso em um local centralizado. Esse registro deve ser abrangente, mas não excessivo, e um processo de monitoramento e alerta deve ser implementado para notificar o pessoal apropriado sobre atividades verificadas ou potencialmente suspeitas.
Os exemplos de alerta incluem muitos logins com falha, contas bloqueadas, uma pessoa fazendo login em um host diretamente como root ou administrador, alterações de senha de root ou administrador, quantidades anormalmente altas de tráfego de rede e qualquer outra coisa que possa constituir uma violação de dados potencial ou incipiente.
8. Implementar atualização de software e mecanismos de correção
Graças à Etapa 1, você sabe quais sistemas operacionais, aplicativos e ferramentas estão sendo executados nos dados do titular do cartão. Certifique-se de que eles sejam atualizados rotineiramente, especialmente quando aparecerem vulnerabilidades críticas. TI e segurança cibernética devem se inscrever para alertas de fornecedores para receber notificações sobre essas vulnerabilidades e obter detalhes sobre aplicativos de correção.
9. Implementar configurações padrão de sistema e aplicativo
Todo sistema construído em um ambiente de titular de cartão, bem como os aplicativos executados nele, devem fazer parte de uma construção padrão, como a partir de um modelo ativo. Deve haver o mínimo possível de disparidades e discrepâncias entre os sistemas, especialmente sistemas redundantes ou agrupados. Esse modelo ativo deve ser corrigido e mantido rotineiramente para garantir que os novos sistemas produzidos a partir dele sejam totalmente seguros e prontos para implantação.
10. Implemente uma lista de verificação de funcionários privilegiados rescindidos
Muitas organizações não acompanham adequadamente as saídas de funcionários, especialmente quando há departamentos e ambientes diferentes. O departamento de RH deve ser encarregado de notificar todos os proprietários de aplicativos e ambientes sobre as saídas de funcionários para que seu acesso seja completamente removido.
Uma lista de verificação geral de todos os funcionários de sistemas e ambientes que lidam com dados de cartão de crédito deve ser compilada e mantida pelos departamentos de TI e/ou segurança cibernética, e todas as etapas devem ser seguidas para garantir a remoção de 100% do acesso.
Não exclua contas; em vez disso, desative-os, pois a prova de contas desativadas geralmente é exigida pelos auditores do PCI.
Para obter mais orientações sobre como integrar ou desligar funcionários, os especialistas da Tech Republic Premium reunimos uma lista de verificação conveniente para você começar.
11. Implemente metodologias seguras de destruição de dados
Quando os dados do titular do cartão são removidos, de acordo com os requisitos, deve haver um método seguro de destruição de dados envolvido. Pode envolver processos baseados em software ou hardware, como exclusão de arquivo ou destruição de disco/fita. Freqüentemente, a destruição de mídia física exigirá evidências para confirmar que isso foi feito de maneira adequada e testemunhado.
12. Realizar testes de penetração
Organize-se para dentro ou fora de casa testes de penetração para verificar seu ambiente e confirmar se tudo está suficientemente seguro. Você prefere encontrar quaisquer problemas que possa corrigir de forma independente antes que um auditor PCI o faça.
13. Eduque sua base de usuários
O treinamento abrangente do usuário é essencial para manter as operações seguras. Treine os usuários sobre como acessar e/ou lidar com os dados do titular do cartão com segurança, como reconhecer ameaças de segurança, como golpes de phishing ou engenharia social, como proteger suas estações de trabalho e dispositivos móveis, como usar autenticação multifatorcomo detectar anomalias e, acima de tudo, quem contatar para relatar quaisquer violações de segurança suspeitas ou confirmadas.
14. Esteja preparado para trabalhar com auditores
Agora chegamos à hora da auditoria, onde você se encontrará com um indivíduo ou equipe cujo objetivo é analisar a conformidade com o PCI de sua organização. Não fique nervoso ou apreensivo; essas pessoas estão aqui para ajudar, não para espionar você. Dê a eles tudo o que eles pedirem e apenas o que eles pedirem – seja honesto, mas mínimo. Você não está escondendo nada; você está apenas fornecendo as informações e respostas que atendem suficientemente às suas necessidades.
Além disso, guarde evidências como capturas de tela de configurações, relatórios de vulnerabilidade do sistema e listas de usuários, pois podem ser úteis para enviar em futuros esforços de auditoria. Aborde todas as suas recomendações para correções e mudanças o mais rápido possível e prepare-se para enviar evidências de que este trabalho foi concluído.
Analise cuidadosamente todas as alterações propostas para garantir que elas não afetem negativamente seu ambiente operacional. Por exemplo, vi cenários em que o TLS 1.0 foi solicitado a ser removido em favor de versões mais recentes do TLS, mas a aplicação dessa recomendação interromperia a conectividade dos sistemas legados e causaria uma interrupção. Esses sistemas tiveram que ser atualizados primeiro para atender aos requisitos.