Conformidade com PCI-DSS

Varejistas e lojas online são os alvos favoritos dos hackers. E com razão. Porque uma violação bem-sucedida de um sistema de cartão de pagamento pode trazer-lhes enormes ganhos financeiros. No entanto, apesar dos riscos, os comerciantes ainda lutam para atender às demandas de segurança dos cartões de pagamento – onde, de acordo com o Relatório de Segurança de Pagamentos da Verizon de 2020, apenas 27,9% das organizações são atualmente capazes de manter total conformidade com os dados da indústria de cartões de pagamento. Padrão de segurança (PCI DSS). Ao mesmo tempo, o número de pagamentos com cartão e sem contacto continua a aumentar, à medida que as preferências dos consumidores mudam constantemente a favor do plástico, das carteiras móveis e das compras online.

Não só isso, mas o setor retalhista também está no meio de uma revolução digital, à medida que migra as suas aplicações de hardware local estático para uma infraestrutura complexa, escalável e elástica baseada na nuvem. Esses novos ambientes de computação dinâmicos exigem uma mudança de foco dos métodos convencionais de segurança cibernética para a proteção de cargas de trabalho individuais, segurança de API e gerenciamento de configuração.

Este post discute os requisitos de Conformidade do PCI-DSS e as implicações que eles têm para sistemas de cartões de pagamento hospedados em ambientes modernos híbridos-nuvem e multi-nuvem. Então vamos começar.

Teste gratuito BAIXAR E-BOOK

O que é o PCIDSS?

O PCI-DSS é um padrão de processamento de informações que fornece uma estrutura para proteger transações com cartões de pagamento e detalhes do titular do cartão contra fraudadores.

 

Ele especifica um conjunto de medidas básicas que você deve implementar para ajudar a minimizar o risco de comprometimento dos dados do titular do cartão.

 

A norma se aplica a qualquer empresa ou organização que aceite ou processe pagamentos com cartão. Portanto, afeta predominantemente empresas de varejo e qualquer empresa que forneça software ou hardware usado para processar transações.

 

Difere significativamente das leis de privacidade de dados, como o Regulamento Geral de Proteção de Dados (GDPR), que também afeta o setor de varejo e comércio eletrônico.

 

Por exemplo, o PCI-DSS é um padrão orientado para a segurança. Por outro lado, a segurança constitui apenas uma parte dos regulamentos de protecção de dados, que também abrangem aspectos de privacidade, tais como avisos de privacidade em websites, consentimento para adicionar detalhes de clientes a listas de correio e pedidos de direito de acesso dos consumidores.

 

O PCI-DSS também foi desenvolvido pelo Payment Card Industry Security Standards Council (PCI SSC) – uma organização administrativa formada por processadores de redes de pagamentos comerciais . No entanto, as leis de privacidade de dados são administradas por órgãos governamentais – a nível estatal, nacional ou internacional.

Conformidade e Penalidades

O PCI-DSS estabelece diferentes caminhos para a Conformidade, cada um dos quais mapeado para um dos quatro níveis diferentes de Conformidade. O número de transações que você processa por ano determina seu nível de Conformidade específico.

 

As administradoras de cartões de pagamento poderão, a seu critério, aplicar multas pela não conformidade com o PCI-DSS. Além disso, uma violação do PCI-DSS também provavelmente constituirá uma violação da legislação de privacidade aplicável, como o GDPR ou a Lei de Privacidade do Consumidor da Califórnia (CCPA). E também potencialmente leis estaduais, como a Lei de Segurança de Cartões Plásticos de Minnesota.

 

Portanto, no caso de uma violação, você poderá estar sujeito a diversas penalidades e sanções financeiras.

Quais são os 12 requisitos da Conformidade PCI DSS?

A Conformidade PCI-DSS especifica doze requisitos técnicos e operacionais como segue.

1. Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão

Um firewall é sua primeira linha de defesa, evitando que tráfego potencialmente malicioso entre em sua rede com base em um conjunto de regras pré-configuradas.

 

No entanto, o firewall tradicional baseado em perímetro não é mais suficiente para proteger seus ativos na nuvem, pois não há limites claros entre os usuários e a rede interna.

 

Para superar esse problema, você precisará de um firewall na nuvem. Isso funciona como um firewall convencional, mas foi especificamente adaptado à natureza distribuída da nuvem, onde os aplicativos são divididos em componentes discretos dispersos pelo ambiente de rede.

2. Não use padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança

Fornecedores de roteadores, sistemas POS e componentes relacionados fornecem aos seus equipamentos nomes de usuário, senhas e configurações padrão para tornar a instalação e configuração o mais rápida e fácil possível.

 

Isso o torna um alvo fácil para os cibercriminosos.

 

Essas configurações de fábrica estão prontamente disponíveis para fraudadores, que as exploram para obter acesso à rede interna e roubar dados do titular do cartão. Portanto, use apenas suas próprias credenciais e configurações de login exclusivas para ajudar a manter os hackers afastados.

 

Cuidado também ao usar outras configurações padrão, como permissões de acesso. As equipes CloudSecOps precisam garantir que suas cargas de trabalho de aplicativos e nuvem não sejam excessivamente permissivas e forneçam apenas o nível necessário de acesso a recursos confidenciais para reduzir a superfície de ataque.

3. Proteja os dados armazenados do titular do cartão

A melhor maneira de proteger as informações do titular do cartão é simplesmente evitar armazená-las totalmente. No entanto, se você precisar dele para fins comerciais ou legais, deverá tomar medidas para torná-lo ilegível.

 

O método mais comum e prático de conseguir isso é criptografar seus dados. Para estar em conformidade com o PCI-DSS, qualquer criptografia desse tipo deve usar o algoritmo AES-256 padrão do setor.

 

Mas lembre-se de que seus dados são tão seguros quanto as chaves que você usa para criptografá-los. Portanto, você também precisa proteger suas chaves de criptografia usando um sistema de gerenciamento de chaves eficaz.

 

E também é importante ter uma ideia clara de quais dados do titular do cartão você está armazenando, normalmente por meio do uso de ferramentas de descoberta de dados e de um inventário de seus ativos de dados.

4. Criptografar a transmissão de dados do titular do cartão em redes abertas e públicas

Certifique-se de configurar corretamente cada um dos seus ambientes locais e na nuvem para criptografar os dados do titular do cartão, usando segurança da camada de transporte (TLS), onde eles se movem pela Internet entre as diferentes partes do ecossistema do seu cartão de pagamento. Considere investir em uma solução abrangente de segurança de rede em nuvem para nuvens públicas e híbridas

 

Tenha também em mente que os pagamentos através de dispositivos móveis estão particularmente em risco. Portanto, certifique-se de que cada rede sem fio use uma senha forte e o protocolo de segurança Wi-Fi mais recente disponível.

5. Use e atualize regularmente softwares ou programas antivírus

Seu software antivírus (AV) deve ser capaz de proteger todos os ambientes que hospedam seu sistema de cartão de pagamento — em sua infraestrutura híbrida ou multinuvem.

 

Mas também é importante estar ciente das limitações do software AV.

 

Tipos de ameaças novos e mais sofisticados evoluíram para atingir a implantação baseada em nuvem. Como resultado, agora você precisa de uma gama mais ampla de abordagens de segurança para proteger os detalhes do titular do cartão, como gerenciamento de postura de segurança de nuvem (CSPM) e proteção de carga de trabalho em nuvem.

6. Desenvolva e mantenha sistemas e aplicativos seguros

O objetivo do Requisito 6 é garantir que você inclua segurança em seus processos de desenvolvimento e ciclo de vida de aplicativos. Isso inclui suporte para práticas de codificação seguras por meio de treinamento, diretrizes e listas de verificação, bem como revisões regulares de qualquer código de aplicativo interno ou personalizado.

 

Também cobre o gerenciamento de patches, onde as disposições do PCI-DSS determinam que você deve instalar patches críticos em software de terceiros dentro de um mês após o lançamento para manter a Conformidade.

7. Restringir o acesso aos dados do titular do cartão por necessidade comercial

Você deve limitar ao mínimo o número de pessoas que podem acessar os detalhes do titular do cartão, permitindo que apenas aqueles com necessidade comercial legítima o façam.

 

A maneira mais prática de fazer isso é implementar um sistema de controle de acesso baseado em funções (RBAC) , que deve conceder acesso a recursos confidenciais, como dados do titular do cartão, com base no princípio do menor privilégio.

8. Atribua um ID exclusivo a cada pessoa com acesso ao computador

Cada usuário autorizado de seus sistemas deve ter um ID e uma senha exclusivos. Isso garante que você sempre conheça a identidade de qualquer pessoa que acesse os dados do titular do cartão a qualquer momento.

 

Lembre-se também de que o PCI-DSS agora só permite acesso remoto aos usuários com privilégios administrativos usando autenticação de dois fatores (2FA).

9. Restringir o acesso físico aos dados do titular do cartão

Ao hospedar um aplicativo na nuvem pública, você transfere a responsabilidade pela segurança física dos seus servidores para o seu provedor de serviços de nuvem. No entanto, você ainda tem a responsabilidade de garantir a segurança física do seu dispositivo.

 

Portanto, você deve tomar medidas para ajudar a impedir o acesso não autorizado a dispositivos de pagamento e estações de trabalho por meio de medidas como vigilância por vídeo, políticas e procedimentos de segurança, treinamento de pessoal, controles de bloqueio baseados em tempo e garantia de que as telas estejam longe da vista do público em geral.

10. Rastreie e monitore todo o acesso aos recursos da rede e aos dados do titular do cartão

O registro e o monitoramento do acesso ao seu sistema de cartão de pagamento ajudarão você a detectar os primeiros sinais de atividades suspeitas e também fornecerão alertas e insights quando algo der errado.

 

As necessidades nesta área evoluíram da mera visibilidade para a observabilidade, não apenas para manter a visibilidade de todos os componentes de processamento de cartões, mas também para identificar e corrigir rapidamente quaisquer problemas. Para conseguir isso, talvez seja necessário procurar ferramentas de monitoramento de nova geração que forneçam visibilidade centralizada em sua infraestrutura híbrida e multinuvem.

11. Teste regularmente sistemas e processos de segurança

Para complementar outras medidas de segurança, como verificação antivírus e gerenciamento de patches, você deve verificar regularmente se o seu sistema de cartão de pagamento é robusto o suficiente para resistir a ameaças potenciais.

 

Isso envolverá ferramentas automatizadas, como verificação de vulnerabilidade e abordagens manuais, como testes de penetração. Outros procedimentos de teste devem incluir verificações regulares nos leitores de cartões para software de skimming e processos para identificar pontos de acesso sem fio não autorizados . Sempre que necessário, você deve tomar medidas corretivas adequadas.

12. Manter uma política que aborde a segurança da informação para funcionários e contratados

Uma política de segurança da informação bem documentada e bem comunicada ajudará a aumentar a consciencialização do pessoal sobre os riscos para os dados do titular do cartão e sobre as suas responsabilidades em protegê-los.

 

Políticas e procedimentos relevantes também devem ser incorporados nos manuais dos funcionários, contratos de fornecedores terceirizados, avaliações de risco e planos de resposta a incidentes.

Além da Conformidade PCI-DSS

A Conformidade PCI-DSS é uma necessidade para qualquer organização que aceite pagamentos com cartão. Mas, embora demonstre que você atendeu aos requisitos básicos para lidar com os dados do titular do cartão, não garante necessariamente proteção total.

 

Além disso, a transformação digital e a migração para a nuvem mudaram os objetivos da segurança. Portanto, você precisa ir além dos exercícios de marcação e dos métodos tradicionais de segurança.

 

Isto exige novas soluções que sejam adaptadas à natureza complexa e dinâmica da implantação híbrida-nuvem e multi-nuvem.

 

Por exemplo, você deve considerar uma plataforma de proteção de carga de trabalho em nuvem (CWPP), que protege aplicativos individuais, bem como os processos e recursos que os suportam. Você deve complementar isso com uma solução Segurança de nuvem Posture Management (CSPM) , que pode identificar riscos de segurança monitorando e comparando continuamente as configurações com as melhores práticas e requisitos de Conformidade.

 

E você também deve proteger o titular do cartão contra as ameaças novas e cada vez mais sofisticadas de hoje com uma solução que forneça recursos de segurança de rede em nuvem .

 

Acima de tudo, você deve procurar ferramentas que forneçam proteção contínua, em vez de simplesmente obter Conformidade uma vez por ano – com visibilidade unificada de todos os componentes do seu sistema de cartão de pagamento a partir de um único painel de controle.

Iniciar

aplicativo da web e proteção de API

Unified Cloud Security

Cloud Native Security 

Gerenciamento de postura do Cloud Security

Serviço de segurança de rede

Proteção de workload

Cloud Intelligence

Tópicos relacionados

O que é AppSec?

Principais problemas de segurança na nuvem

Pipeline de CI/CD

RASP vs WAF

O que é segurança de nuvem?

What is Container Security?

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK