Sobre o PCI-DSS

Nos últimos anos as transações financeiras ficaram cada vez mais rápidas e populares nos estabelecimentos comerciais. Atualmente é impensável a possibilidade de não contar com um cartão de crédito ou ainda um estabelecimento que não aceite tal forma de pagamento.

Apesar da praticidade, uma grande questão deve ser lembrada, nossos dados estão guardados  de forma segura? Quem os acessa e de que forma?

Apesar de todos os esforços das empresas para manter estes dados seguros, a facilidade e o anonimato das fraudes eletrônicas sempre atraiu criminosos. Foram gastos cerca de 1,5Bilhões de reais no ano de 2011 em transações fraudulentas, causando um enorme prejuízo de acordo com a Febraban.

Atualmente vários governos estão empenhados em criar leis para punir os criminosos que praticam este tipo de fraude, enquanto as operadoras de crédito tomam suas próprias iniciativas para mitigar os riscos e garantir uma boa prática para o manuseio e armazenamento destes dados, a partir desta preocupação nasceu o PCI-DSS.

O PCI-DSS é um acrônimo de Payment Card Industry – Data Security Standard, que em uma tradução livre significa Indústria de Pagamento por Cartão – Padrão de Segurança de Dados, seu objetivo é garantir que os dados dos utilizadores de cartão de crédito sejam manuseados com toda a segurança que o cliente precisa, desde o momento do recebimento dos dados, passando pela transmissão das informações e a efetivação da transação.

Como funcionam as fraudes eletrônicas

A utilização do cartão de crédito é realizada de duas formas, passando o cartão em uma máquina leitora ou informando os dados do cartão, sendo que esta última é mais comum quando compramos pela internet. Esta segunda opção é o que facilita a fraude, para um criminoso utilizar seu cartão de crédito basta conhecer as informações impressas no cartão: Número do cartão, data de validade, nome completo e código de segurança. Com estes dados, um criminoso pode efetuar compras na internet de forma autêntica do ponto de vista do comércio.

Sobre o PCI-DSS

Em dezembro de 2006 as empresas das principais bandeiras de cartões de crédito do mundo, dentre elas Visa, Mastercard e American Express, criaram um consórcio conhecido como PCI Council, que recebeu a função de elaborar normas e estabelecer um padrão para manipulação de dados de clientes de seus cartões. Estas normas são mandatórias para estabelecimentos que lidam com mais de R$ 6 milhões em transações eletrônicas anuais.

Ao todo são 12 (doze) recomendações estabelecidas, que podem ser acessadas neste link. Abaixo organizamos uma tabela com as categorias e requisitos:

Categorias # Requisito

Construir e Manter uma Rede Segura

1

Instalar e manter uma configuração de firewall para manter os dados do portador de cartão.

2

Não utilizar combinações de usuários e senhas padrão em equipamentos.

Proteger Dados de Cartões

3

Proteger dados de cartão armazenados

4

Criptografar transmissão de dados de cartão em redes públicas ou abertas

Manter um Programa de Gerenciamento de Vulnerabilidades

5

Usar e atualizar regularmente o software antivírus

6

Desenvolver e manter sistemas e aplicativos seguros

Implementar Medidas de Controle de Acesso Rigorosas

7

Restringir o acesso aos dados dos cartões de acordo com a necessidade de negócio

8

Atribuir um identificador exclusivo para cada pessoa que tenha acesso a um computador

9

Restringir o acesso físico ao local onde os dados dos cartões estão trafegando

Monitorar e Testar Redes Regularmente

10

Rastrear e monitorar todos os acessos aos recursos de rede e dados de cartões

11

Testar regularmente a segurança dos sistemas e processos

Política de Segurança da Informação

12

Estabelecer e manter uma política de segurança com todas as pessoas envolvidas com transações de cartões, na sua área de abrangência

O pentest para PCI-DSS

A norma PCI-DSS deixa claro que os testes de intrusão devem ser realizados por profissionais experientes. A organização interessada pode alocar um recurso interno para fetuar estes testes, entretanto é necessário que não exista uma situação de conflito de interesses, como por exemplo, o teste de intrusão em um sevidor Linux, não deve ser realizado pela pessoa que o configura.

O escopo dos testes deve necessariamente passar por todos os servidores, serviços e ambientes por onde os dados de cartões trafegam, ou seja, caixas, servidores TEF, e-commerce, switchs, roteadores, redes isoladas dedicadas ao PCI, VPNs, etc. A exclusão de um ativo do escopo pode comprometer a certificação.

Se a empresa já possui um programa de gestão de riscos, ou segue modelos propostos pela família da ISO 2700X, o resultado do pentest pode ser melhor trabalhado para que seja estabelecido um plano de tratamento dos pontos identificados de acordo com a estratégia adotada (reduzir, transferir e evitar).

A Andrade Soto Information Security é uma empresa especializada em teste de intrusão que atende diversos clientes que se preocupam com a segurança de seus sistemas e informações, nosso foco está na qualidade do resultado entregue ao cliente. Desta forma, trabalhamos em conjunto com nossos clientes seguindo modelos de melhores práticas para obter sua certificação PCI-DSS.

Postado por:

Editor.

Leave a Reply