Prepare-se para o PCI DSS 4.0

Sep 26, 2023
Share

A American Express emitiu o primeiro cartão de crédito de plástico Em 1959. E embora cada banco tivesse estabelecido seus próprios padrões de segurança ao longo do tempo, foi somente em dezembro de 2004, quase 55 anos após o lançamento do cartão de papelão do Diner's Club em 1950, que surgiu um padrão em nível de indústria: o Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS).

Contexto para PCI DSS

O PCI DSS não é exatamente a mesma coisa que uma regulamentação governamental — como, por exemplo, GLBA—porque as violações não são crimes. Em vez disso, o Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC) é um grupo comercial internacional que administra o padrão, qualifica avaliadores e realiza outras atividades regulatórias. O PCI DSS é uma certificação voluntária apoiada pela maior parte do setor de crédito e bancário, com o objetivo de proteger as transações de pagamento globais e os dados das contas. A certificação PCI significa que uma organização, como um varejista ou processador/provedor de tecnologia de cartões de crédito, implementou sistemas e salvaguardas de segurança para evitar o roubo, a falsificação ou outras alterações de pagamentos digitais.

Note que o DSS não é o único padrão ou requisito estabelecido pelo PCI SSC para proteger pagamentos e titulares de cartões, dependendo se sua empresa é comerciante, prestadora de serviços, fabricante ou desenvolvedora de software. Dos quinze padrões, alguns destaques são:

  • Requisitos de segurança de transações com PIN (PTS) É um conjunto de requisitos de segurança focados nas características e na gestão de dispositivos utilizados na proteção dos PINs dos titulares de cartões e em outras atividades relacionadas ao processamento de pagamentos.
  • Padrão de Segurança de Dados para Aplicativos de Pagamento (PA-DSS) É destinada a fornecedores de software e outros que desenvolvem aplicativos de pagamento que armazenam, processam ou transmitem dados do titular do cartão e/ou dados de autenticação confidenciais como parte da autorização ou liquidação.
  • Padrão de criptografia ponto a ponto PCI (P2PE) Fornece um conjunto abrangente de requisitos de segurança para que os provedores de soluções P2PE validem suas soluções P2PE e pode ajudar a reduzir o escopo do PCI DSS para comerciantes que utilizam tais soluções.

Outras duas são específicas para a produção de cartões e tokenização:

  • Requisitos de segurança lógica e física para produção de cartões PCI
  • Requisitos de segurança do provedor de serviços de token PCI (TSP)

Quais são os requisitos de política para o PCI DSS?

A versão 1.0 do DSS estabeleceu doze requisitos de segurança e de processo estruturados em seis objetivos de controle e quatro níveis de relatório com base na carga de transações. Para trazer esclarecimentos e responder à evolução das tecnologias e ameaças, a versão 4.0 atualizou substancialmente esses requisitos, passando a incluir:

  1. Instalar e manter controles de segurança de rede
  2. Aplique configurações seguras a todos os componentes do sistema.
  3. Proteja os dados armazenados da conta.
  4. Proteja os dados do titular do cartão com criptografia robusta durante a transmissão em redes públicas e abertas.
  5. Proteja todos os sistemas e redes contra software malicioso.
  6. Desenvolver e manter sistemas e softwares seguros.
  7. Restringir o acesso a componentes do sistema e dados do titular do cartão de acordo com a necessidade comercial de conhecimento.
  8. Identificar usuários e autenticar o acesso a componentes do sistema.
  9. Restringir o acesso físico aos dados do titular do cartão.
  10. Registre e monitore todos os acessos aos componentes do sistema e aos dados do titular do cartão.
  11. Teste regularmente a segurança dos sistemas e redes.
  12. Apoiar a segurança da informação com políticas e programas organizacionais.

Para ajudar as empresas a compreender e atender a esses requisitos, eles são agrupados de acordo com princípios orientadores (objetivos) que se alinham às melhores práticas geralmente aceitas para proteger qualquer ambiente de rede (não apenas sistemas de pagamento):

  • Construir e manter uma rede e sistemas seguros (requisitos 1 e 2)
  • Proteger os dados da conta (requisitos 3 e 4)
  • Manter um programa de gestão de vulnerabilidades (requisitos 5 e 6)
  • Implementar medidas rigorosas de controle de acesso (requisitos 7, 8 e 9).
  • Monitorar e testar as redes regularmente (requisitos 10 e 11)
  • Manter uma política de segurança da informação (requisito 12)

Os comerciantes que processam transações devem atender a um nível de avaliação com base no volume anual de negócios, e o banco adquirente (por exemplo, Visa) pode colocá-los em uma categoria superior a seu critério. Cada nível (Veja aqui através do Mastercard) define o quão abrangentes devem ser as avaliações e práticas de relatórios dos comerciantes, o que também impacta os investimentos necessários para cumprir os padrões:

  • Comerciante Nível 1: >6 milhões de transações
  • Comerciante Nível 2: 1M – 6M transações
  • Comerciante Nível 3: 20.000 a 1 milhão de transações
  • Comerciante de Nível 4: <20.000 transações

Os prestadores de serviços também estão sujeitos a avaliações e devem obter certificação no Nível 1, definido como >300.000 transações, ou no Nível 2, definido como <300.000 transações.

Quais são as consequências do não cumprimento?

O PCI DSS é como ISO e outros padrões de segurança da informação, pois confere responsabilidade por falhas (e multas às empresas de crédito associadas, que também podem ser aplicadas aos comerciantes, chegando a até US$ 100 mil por mês), mas não constitui um arcabouço legal em si — embora isso não signifique que as violações não resultem em processos judiciais.

A Equifax sofreu uma violação de dados. Em 2017, um ataque cibernético comprometeu os dados de mais de 145 milhões de americanos. Entre os dados roubados estavam números de cartões de crédito. Os afetados entraram com ações contra a empresa, resultando em acordos que custaram à Equifax mais de US$ 425 milhões até o momento.

Depois A Adobe perdeu os números do cartão de crédito. Com informações de login de mais de 38 milhões de usuários da Adobe em 2013, a empresa enfrentou processos judiciais em 15 estados diferentes e fez um acordo no valor de US$ 1 milhão, além de outros valores de indenização não divulgados.

Quais são as novidades do PCI DSS v4.0?

O PCI DSS v4.0 foi lançado publicamente em março de 2022, mas só entrará em vigor integralmente em março de 2025. Em 2024, a versão 3.2.1 será descontinuada e as organizações deverão começar a implementar os requisitos da versão 4.0. O documento de alterações está localizado em [link para o documento de alterações]. aqui A versão 4.0 fornece detalhes, mas as atualizações incluem desde pequenos esclarecimentos de texto até novas orientações sobre criptografia de números de conta. Além disso, foi aplicado maior rigor ao estabelecimento de funções e responsabilidades em uma organização, à defesa contra malware, às políticas de resposta a incidentes cibernéticos, ao escopo e muito mais. Considerando que a última versão verdadeiramente abrangente foi a 3.2, em 2016, a versão 4.0 exige sua atenção imediata.

Quais dados são regulamentados pelo PCI DSS?

Com o avanço da tecnologia no setor de serviços financeiros, também aumentou a quantidade e os tipos de dados processados. Assim, a versão 4.0 foi expandida para incluir não apenas dados de contas e outras informações pessoais, mas também dados sensíveis de autenticação (SAD), acesso administrativo, registros/revisões, gerenciamento de certificados, etc. Essas lacunas já haviam sido abordadas por outros grupos de segurança da informação, como a Cloud Security Alliance com a Cloud Control Matrix, mas a codificação delas no PCI DSS dará mais rigor aos esforços de conformidade dos comerciantes, principalmente porque o PCI DSS não depende de outras certificações.

Certos dados nunca devem ser armazenados após a conclusão de uma transação (mesmo que anonimizados) e representam um risco extremo em caso de violação. Os Dados de Segurança Acessíveis (SAD) incluem “o código de segurança de 3 ou 4 dígitos impresso na frente ou no verso de um cartão, os dados armazenados na tarja magnética ou no chip de um cartão (também chamados de “Dados Completos da Faixa”) e os números de identificação pessoal (PIN) inseridos pelo titular do cartão” (ver página 11 do documento). Guia de Referência Rápida PCI DSS).

Como a Cyera oferece suporte à conformidade com o PCI DSS

A conformidade com qualquer padrão exige uma compreensão abrangente dos dados que você armazena e processa. O PCI DSS facilita a identificação de certas informações, pois as transações só podem ser processadas se os dados estiverem em um formato específico (por exemplo, um número de cartão de 16 dígitos). Consequentemente, e talvez indicando seu próprio risco inerente, os dados de contas de pagamento provavelmente estão armazenados em aplicativos e bancos de dados distribuídos por toda a sua organização, tanto em endpoints internos quanto externos. Você pode mitigar esses riscos descobrindo, classificando e identificando possíveis cenários de exploração de dados existentes em sistemas distribuídos e tomando medidas corretivas.

Para comerciantes, prestadores de serviços, fabricantes ou desenvolvedores de software, a Cyera pode ajudar a fortalecer a conformidade com o PCI DSS por meio de:

  • Descobrir, classificar e inventariar dados de titulares de cartões e de autenticação que possam ter sido perdidos, esquecidos ou mal gerenciados.
  • Auditar se os dados PCI foram ofuscados e por quais métodos. Por exemplo, se um número de cartão de crédito foi criptografado, tokenizado, transformado em hash ou exposto em texto simples.
  • Avalie a resiliência da segurança dos seus armazenamentos de dados que contêm informações PCI. O Cyera alertará sobre backups ausentes, registros insuficientes ou configurações incorretas conhecidas que podem expor os dados.
  • Sinalizando acessos excessivamente permissivos a dados PCI. Com o Cyera, você pode ver quem tem acesso aos armazenamentos de dados, incluindo usuários individuais.
  • Sinalização de violações específicas do PCI. Por exemplo, quando dados SAD são armazenados em um repositório de dados, em violação ao requisito 3.2 do PCI DSS, que proíbe o armazenamento desse tipo de dado.
  • Detecção de indicadores de comprometimento. Por exemplo, quando dados PCI são transferidos de um ambiente seguro e aprovado para um ambiente menos seguro e não aprovado, a Cyera pode alertá-lo sobre essas atividades.

Cumpra com confiança

A economia mundial e as empresas que a sustentam estão tão interligadas que uma falha de segurança, mesmo em uma pequena franquia, pode levar a um vazamento massivo, afetando milhões de pessoas. O PCI DSS visa ajudar a proteger o processamento de transações e viabilizar o comércio eletrônico global. Mas participar de sistemas e processos de pagamento significa tomar as medidas necessárias para proteger não apenas os seus dados, mas também os de seus clientes e parceiros.

Cyera Adotamos uma abordagem de segurança centrada em dados, avaliando a exposição dos seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto de dados profundo e holístico em todo o seu ambiente de dados, somos a única solução capaz de capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e a tomar medidas imediatas para remediar as exposições e garantir a conformidade sem interromper os negócios.

Para saber mais sobre como a Cyera pode ajudar você a atender aos requisitos de conformidade com o PCI, Agende uma demonstração hoje.

Share