Prepare-se para o PCI DSS 4.0

A American Express emitiu o primeiro cartão de crédito de plástico em 1959. E embora bancos individuais tivessem estabelecido seus próprios padrões de segurança ao longo do caminho, foi somente em dezembro de 2004, quase 55 anos após o cartão de papelão do Diner's Club ter estreado em 1950, que um padrão de nível industrial surgiu: o Payment Card Industry Data Security Standard (PCI DSS).

Contexto do PCI DSS

O PCI DSS não é exatamente o mesmo que uma regulamentação governamental—como a GLBA—porque as violações não são crimes. Em vez disso, o Payment Card Industry Security Standards Council (PCI SSC) é um grupo comercial internacional que administra o padrão, qualifica avaliadores e realiza outras atividades regulatórias. O PCI DSS é uma certificação voluntária apoiada pela maior parte da indústria de crédito e bancária, com o objetivo de proteger transações de pagamento globais e dados de contas. A certificação PCI significa que uma organização, como um varejista ou processador de cartão de crédito / provedor de tecnologia, implementou sistemas de segurança e salvaguardas para prevenir o roubo, falsificação ou outra alteração de pagamentos digitais.

Observe que o DSS não é o único padrão ou requisito que o PCI SSC estabeleceu para proteger pagamentos e titulares de cartão, dependendo se sua empresa é um comerciante, provedor de serviços, fabricante ou desenvolvedor de software. Dos quinze padrões, alguns destaques são:

• Requisitos de Segurança de Transações PIN (PTS) é um conjunto de requisitos de segurança focados nas características e gerenciamento de dispositivos usados na proteção de PINs de titulares de cartão e outras atividades relacionadas ao processamento de pagamentos.
• Payment Application Data Security Standard (PA-DSS) é destinado a fornecedores de software e outros que desenvolvem aplicações de pagamento que armazenam, processam ou transmitem dados de titulares de cartão e/ou dados de autenticação sensíveis como parte da autorização ou liquidação.
• PCI Point-to-Point Encryption Standard (P2PE) fornece um conjunto abrangente de requisitos de segurança para provedores de soluções P2PE validarem suas soluções P2PE e pode ajudar a reduzir o escopo do PCI DSS de comerciantes que utilizam tais soluções.

Outros dois são específicos para produção de cartões e tokenização:

• Requisitos de Segurança Lógica e Requisitos de Segurança Física para Produção de Cartões PCI
• Requisitos de Segurança do Provedor de Serviços de Token (TSP) PCI

Quais são os requisitos de política para PCI DSS?

O DSS v1.0 estabeleceu doze requisitos de segurança e processo estruturados por seis objetivos de controle, e quatro níveis de relatório baseados em volumes de transações. Para trazer esclarecimentos e responder às tecnologias e ameaças em evolução, na v4.0 estes foram substancialmente atualizados para:

1. Instalar e manter controles de segurança de rede
2. Aplicar configurações seguras a todos os componentes do sistema
3. Proteger dados de conta armazenados
4. Proteja os dados do titular do cartão com criptografia forte durante a transmissão em redes abertas e públicas
5. Proteja todos os sistemas e redes contra software malicioso
6. Desenvolver e manter sistemas e software seguros
7. Restringir o acesso aos componentes do sistema e aos dados do titular do cartão com base na necessidade de conhecimento do negócio
8. Identificar usuários e autenticar o acesso aos componentes do sistema
9. Restringir o acesso físico aos dados do titular do cartão
10. Registrar e monitorar todos os acessos aos componentes do sistema e aos dados do titular do cartão
11. Teste a segurança de sistemas e redes regularmente
12. Apoiar a segurança da informação com políticas e programas organizacionais

Para ajudar as empresas a entender e atender a esses requisitos, eles são agrupados de acordo com princípios orientadores (objetivos) que se alinham às melhores práticas geralmente aceitas para proteger qualquer ambiente de rede (não apenas sistemas de pagamento):

• Construir e manter uma rede e sistemas seguros (requisitos 1 e 2)
• Proteger dados da conta (requisitos 3 e 4)
• Manter um programa de gerenciamento de vulnerabilidades (requisitos 5 e 6)
• Implementar medidas rigorosas de controle de acesso (requisitos 7, 8 e 9)
• Monitore e teste redes regularmente (reqs 10 e 11)
• Manter uma política de segurança da informação (req 12)

Comerciantes que processam transações devem atender a um nível de avaliação baseado no volume anual de negócios, e o banco "adquirente" (por exemplo, Visa) pode colocá-lo em uma categoria superior a seu critério. Cada nível (veja aqui via Mastercard) define quão abrangentes as avaliações de comerciantes e as práticas de relatórios devem ser, o que também impacta os investimentos necessários para cumprir com os padrões:

• Comerciante Nível 1: >6M transações
• Comerciante Nível 2: 1M – 6M transações
• Nível de Comerciante 3: 20.000 – 1M transações
• Nível de Comerciante 4: <20.000 transações

Os provedores de serviços também estão sujeitos a avaliações e devem obter certificação no Nível 1, definido como >300.000 transações, ou no Nível 2, definido como <300.000 transações.

Quais são as consequências do não cumprimento?

O PCI DSS é semelhante ao ISO e outros padrões de segurança da informação, pois confere responsabilidade por falhas (e multas às empresas de crédito associadas, que também podem ser aplicadas aos comerciantes, chegando a até US$ 100 mil por mês), mas não é uma estrutura legal em si — embora isso não signifique que as violações não resultarão em processos judiciais.

A Equifax sofreu uma violação de dados em 2017 que comprometeu os dados de mais de 145 milhões de americanos. Entre os dados roubados estavam números de cartões de crédito. Os afetados entraram com ações contra a empresa, resultando em acordos que custaram à Equifax mais de US$ 425 milhões até o momento.

Depois que a Adobe perdeu números de cartão de crédito e informações de login de mais de 38 milhões de usuários da Adobe em 2013, a empresa lidou com processos judiciais de 15 estados diferentes e chegou a um acordo de US$ 1 milhão de dólares, além de valores de acordos não divulgados.

O que há de novo no PCI DSS v4.0?

O PCI DSS v4.0 foi lançado publicamente em março de 2022, mas só entra em vigor completo em março de 2025. Em 2024, a v3.2.1 será descontinuada e as organizações devem começar a implementar os requisitos da v4.0. O documento de alterações localizado aqui fornece detalhes, mas as atualizações incluem desde pequenas clarificações de texto até novas orientações sobre criptografia de números de contas. Além disso, é aplicado mais rigor ao estabelecimento de funções e responsabilidades em uma organização, defesa contra malware, políticas de resposta cibernética, escopo e muito mais. Considerando que a última versão verdadeiramente abrangente foi a v3.2 em 2016, a v4.0 requer sua atenção imediata.

Quais dados são regulamentados pelo PCI DSS?

À medida que a tecnologia no setor de serviços financeiros avançou, também aumentaram o número e os tipos de dados processados. Assim, a versão 4.0 foi expandida para incluir não apenas dados de contas e outras informações pessoais, mas também dados confidenciais de autenticação (SAD), acesso administrativo, logs/revisões, gerenciamento de certificados, etc. Essas lacunas foram anteriormente abordadas por outros grupos de segurança da informação, como a Cloud Security Alliance com a Cloud Control Matrix, mas codificá-las no PCI DSS colocará mais rigor nos esforços de conformidade dos comerciantes, particularmente porque o PCI DSS não depende de outras certificações.

Certos dados nunca devem ser armazenados após a conclusão de uma transação (mesmo que ofuscados) e representam um risco extremo quando violados. SAD inclui "o código de segurança de 3 ou 4 dígitos impresso na frente ou no verso de um cartão, os dados armazenados na tarja magnética ou chip de um cartão (também chamados de "Dados de Trilha Completa"), e números de identificação pessoal (PIN) inseridos pelo titular do cartão" (veja a página 11 do Guia de Referência Rápida PCI DSS).

Como a Cyera oferece suporte à conformidade com PCI DSS

Cumprir qualquer padrão requer uma compreensão abrangente dos dados que você mantém e processa—o PCI DSS torna comparativamente fácil identificar certas informações porque as transações só podem ser processadas se os dados estiverem em um formato específico (por exemplo, um número de cartão de 16 dígitos). Como resultado, e talvez indicando seu próprio risco inerente, os dados de contas de pagamento provavelmente estão armazenados em aplicativos e bancos de dados espalhados por toda a sua organização, em endpoints voltados tanto para o ambiente interno quanto externo. Você pode mitigar esses riscos descobrindo, classificando e identificando possíveis cenários de exploração de dados que existem em sistemas distribuídos e tomando ações corretivas.

Para comerciantes, provedores de serviços, fabricantes ou desenvolvedores de software, a Cyera pode ajudá-lo a fortalecer a conformidade de dados PCI ao:

• Descobrir, classificar e inventariar dados de titulares de cartão e de autenticação que podem ter sido perdidos, esquecidos ou mal gerenciados
• Auditoria para verificar se os dados PCI foram ofuscados e por quais métodos. Por exemplo, se um número de cartão de crédito está criptografado, tokenizado, com hash ou exposto como texto simples.
• Avaliando a resiliência de segurança de seus armazenamentos de dados que contêm dados PCI. A Cyera irá alertá-lo sobre backups ausentes, registro insuficiente ou configurações incorretas conhecidas que podem expor os dados.
• Sinalizando acesso excessivamente permissivo a dados PCI. Com a Cyera, você pode ver quem tem acesso aos armazenamentos de dados, incluindo usuários individuais.
• Sinalização de violações específicas de PCI. Por exemplo, quando SAD é armazenado em um armazenamento de dados, em violação ao requisito 3.2 do PCI DSS para que esse tipo de dado não seja armazenado.
• Detectando indicadores de comprometimento. Por exemplo, quando dados PCI se movem de um ambiente seguro e aprovado para um ambiente menos seguro e não aprovado, a Cyera pode alertá-lo sobre tais atividades.

Cumpra com Confiança

A economia mundial e as empresas que a sustentam estão tão interconectadas que uma violação até mesmo na menor franquia pode levar a um vazamento massivo impactando milhões de indivíduos. O PCI DSS tem como objetivo ajudar a proteger o processamento de transações e possibilitar o comércio eletrônico global. Mas participar de sistemas e processos de pagamento significa tomar as medidas necessárias para proteger não apenas seus dados, mas também os de seus clientes e parceiros.

Cyera adota uma abordagem centrada em dados para segurança, avaliando a exposição de seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica contexto profundo de dados de forma holística em toda a sua paisagem de dados, somos a única solução que pode capacitar equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e tomar ações imediatas para remediar exposições e garantir conformidade sem interromper os negócios.

Para saber mais sobre como a Cyera pode ajudá-lo a atender à conformidade com PCI, agende uma demonstração hoje.