Os requisitos PCI DSS são mais críticos do que nunca, afinal, espera-se que os pagamentos digitais atinjam um recorde histórico este ano. Projeções mostram que as transações de pagamento aumentaram 24% em 2020 em relação ao ano anterior, uma tendência que não mostra sinais de desaceleração, exatamente por isso, comerciantes e processadores de pagamentos precisam garantir a privacidade e a segurança de cada transação.
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é uma estrutura projetada para proteger toda a cadeia de valor do cartão de pagamento, e os requisitos de conformidade do PCI DSS abrangem inúmeras áreas, desde como os dados do titular o cartão são armazenados até como os dados de pagamento privados podem ser acessados.
Mas, à medida que as ameaças e a tecnologia evoluem, os padrões PCI DSS também evoluem. Comerciantes, facilitadores de pagamento e qualquer outra empresa que lida com dados de titulares de cartão devem estar cientes dos novos requisitos do PCI DSS 4.0. Nossa lista de verificação de conformidade está aqui para ajudá-lo a decifrar as alterações desde a criptografia de dados até a segurança e monitoramento da rede.
Modificações do PCI DSS 4.0
A conformidade com o PCI DSS é uma lei de privacidade e um requisito organizacional para qualquer empresa que armazene, processo ou transmita dados do titular do cartão.
Aqui estão os objetivos de alto nível que o PCI Standards Security Council está estabelecendo para o PCI v4.0:
Abaixo estão as áreas técnicas que estão sendo consideradas para modificação no PCI DSS 4.0:
Resumindo, o PCI DSS 4.0 foi projetado para proteger ainda mais os dados do titular do cartão, ajudando as organizações a ter uma visão mais holística das medidas de segurança e controles de acesso. E, além disso, para responder às novas ameaças impostas pelos avanços da tecnologia.
Atender aos requisitos de firewall PCI DSS é o primeiro passo para a conformidade organizacional. Os firewalls restringem o tráfego de rede de entrada e saída e geralmente são a primeira linha de defesa quando se trata de ataques cibernéticos.
Você precisará configurar corretamente seu firewall e roteadores para proteger um ambiente de dados de cartão de pagamentos. Além disso, é necessário estabelecer regras e padrões de firewall e roteador que determinem quais tipos de tráfego são permitidos e quais não são.
Nunca confie nas configurações padrão de qualquer servidor, dispositivo de rede ou aplicativo de software. Isso vale para tudo, desde roteadores wifi até firewalls. A senha, nome de usuário e outras configurações de segurança padrão geralmente são insuficientes para os padrões PCI..
Este segundo requisito do padrão PCI DSS determina que não se deve usar padrões fornecidos pelo fornecedor para senhas e outros parâmetros de segurança. Certifique-se de atualizar as configurações para todos os novos dispositivos e hardware, bem como manter a documentação para os procedimentos de proteção de segurança de configuração.
Proteger os dados do titular do cartão é o mais crítico de todos os requisitos de conformidade do PCI DSS. Para isso, é preciso saber para onde os dados do titular do cartão estão indo, o local em que serão armazenados e por quanto tempo isso será feito exatamente. Além disso, todos os dados do titular do cartão devem ser criptografados usando algoritmos e chaves de segurança aceitos pelo setor.
Um erro comum é quando as empresas não sabem que os números de conta principal (PAN) são armazenados de forma não criptografada, é por isso que usar uma ferramenta de descoberta de dados de cartão é útil. Esse requisito do PCI também inclui regras sobre como os números dos cartões devem ser exibidos, como ocultá-los, menos os seis primeiros ou os últimos quatro dígitos.
Esta etapa do requisito do PCI DSS é semelhante à anterior, mas se concentra no tráfego e na transmissão de dados, e não no armazenamento. Isso inclui dados em movimento por meio de redes abertas, fechadas, privadas ou públicas. Hackers geralmente visam dados que estão indo de um local para outro, porque eles assumem que são mais vulneráveis.
Portanto, é essencial saber de onde os dados do titular do cartão estão indo e vindo, seja um comerciante, gateway de pagamento ou operadora de pagamentos. Além disso, certifique-se de criptografa os dados do titular do cartão antes da transmissão usando versões seguras de protocolos que reduzirão o risco de comprometimento da transferência de dados. Você deve estar ciente que o PCI DSS v4.0 fornecerá orientações mais específicas para a autenticação multifator (MFA).
Não basta simplesmente instalar um software antivírus básico para ser compatível com PCI DSS, é necessário atualizar e corrigir a ferramenta regularmente. Este padrão de segurança PCI é projetado para proteção contra malware e vírus que possam comprometer seus sistemas e os dados do titular do cartão.
O software antivírus deve estar atualizado em todo o ecossistema de TI do titular do cartão. Isso inclui servidores, estações de trabalho, laptops ou dispositivos móveis usados por funcionários e/ou gerentes. O software antivírus deve estar sempre em execução ativa, usando as assinaturas mais recentes e gerando logs que possam ser auditados.
Em seguida, é necessário definir e implementar processos para identificar e classificar o risco em prol da implantação da tecnologia. Sem primeiro realizar uma avaliação de risco completa, é impossível gerenciar e utilizar a tecnologia em conformidade com os padrões PCI.
Após uma avaliação de risco, é possível começar a implantar equipamentos e softwares usados no processamento ou manuseio de informações confidenciais de cartões de pagamento. Não se esqueça de também aplicar patches em tempo hábil, também um requisito do padrão PCI DSS. Isso inclui patches para itens como bancos de dados, terminais de ponto de vendas e sistemas operacionais.
Qualquer entidade que manipule dados de cartões de pagamento também deve permitir ou negar o acesso a essas informações com base em funções e permissões. Mais especificamente, os requisitos PCI DSS estabelecem que os indivíduos só devem ter acesso aos dados privados do titular do cartão em uma base essencial para os negócios
Além do acesso digital, as organizações devem atender aos requisitos de segurança física do PCI DSS. Também é necessário contar com políticas e procedimentos de controle de acesso documentados com base em fatores como função de trabalho, nível de antiguidade e motivo para ter acesso aos dados do titular do cartão. Documente todos os usuários e seus níveis de acesso e mantenha-os sempre atualizados.
De acordo com o padrão número 8 do PCI DSS, cada usuário deve ter seu próprio nome de usuário individual e senha de acesso. Nunca – sob nenhuma circunstância – use nomes de usuários ou senhas de grupo ou compartilhados. Além disso, todos os nomes de usuário e senhas exclusivos devem ser complexos.
Isso não é apenas para evitar que hackers adivinhem ou roubem senhas para entrar no sistema, mas, também, para garantir que, no caso de uma violação interna de dados, a atividade possa ser detectada e rastreada até usuários específicos com quase 100% de certeza. Para reforçar ainda mais o acesso exclusivo, os requisitos PCI DSS determinam que você empregue a autenticação de dois fatores.
Ser compatível com PCI não é apenas sobre segurança digital. As empresas também devem levar a segurança física do PCI DSS a sério por conta própria. Este requisito abrange o acesso físico a servidores, arquivos de papel ou estações de trabalho que armazenam ou transmitem dados do titular do cartão.
Esse requisito do PCI também exige o uso de câmeras de vídeo e monitoramento eletrônico geral das formas de entrada e saída de locais físicos, como data centers e locais para armazenagem de documentos físicos. As gravações e os registros de acesso devem ser mantidos por um período mínimo de 90 dias e é necessário implementar processos de acesso para distinguir entre funcionários e visitantes. Por fim, todas as mídias portáteis com dados do titular do cartão, como unidades flash, devem ser protegidas fisicamente e destruídas quando não forem mais necessárias para os negócios.
Atores mal-intencionados visam consistentemente redes físicas e sem fio para acessar os dados do titular do cartão. É por isso que os padrões PCI exigem que todos os sistemas de rede sejam protegidos e monitorados o tempo todo, com um histórico claro de atividades de referência. Os logs de atividade da rede devem ser mantidos e enviados de volta a um servidor centralizado para serem revisados diariamente.
Para isso, é possível usar uma ferramenta de monitoramento de eventos e informações de segurança (SIEM) para ajudar a registrar a atividade do sistema, enquanto monitora simultaneamente atividades suspeitas. De acordo com os requisitos de conformidade do PCI, os registros de trilha de auditoria da atividade de rede devem ser mantidos, sincronizados e armazenados por pelo menos um ano.
Cibercriminosos e atores mal-intencionados estão constantemente tentando acessar os sistemas na esperança de descobrir uma vulnerabilidade. É por isso que os padrões PCI DSS incluem requisitos sobre testes contínuos de sistemas e processos. Atividades como testes de penetração e vulnerabilidade podem ajudar a atender a esse requisito.
Para isso, você será solicitado a realizar verificações periódicas da rede sem fio trimestralmente para identificar pontos de acesso não autorizados. IPs e domínios externos precisam ser verificados por um fornecedor aprovado pelo PSI (ASV). As verificações de vulnerabilidade interna também devem ser realizadas trimestralmente. E um teste completo de penetração de rede a aplicativo deve ocorrer anualmente.
A etapa final para ser compatível com o PCI concentra-se no foco organizacional e na cooperação. E isso diz respeito a criação, implementação e manutenção de uma política de segurança da informação em toda a empresa. Esta política de infosec deve abranger funcionários, lideranças e terceiros relevantes.
A política deve ser revisada anualmente, divulgada internamente e externamente com todos os usuários lendo e reconhecendo a política. É necessário também realizar treinamentos de conscientização do usuários e verificação de antecedentes dos funcionários para evitar que pessoas erradas acessem os dados do titular do cartão.
Antes de contratar um avaliador de segurança qualificado (QSA) do PCI, certifique-se de ter o máximo de itens da seguinte lista de verificação de conformidade do PCI DSS
Lembre-se de que a não conformidade com requisitos PCI DSS pode resultar em consequências graves. Se você sofrer uma violação de dados, e as investigações subsequentes descobrirem que a empresa não estava em conformidade, os danos financeiros e à sua reputação podem ter grande impacto nos negócios.
Como manter a conformidade com o PCI
No geral, o PCI DSS v4.0 não altera significativamente os seis principais objetivos e os 12 requisitos do PCI DSS. Mas o que você pode esperar são ajustes nas metodologias e processos de avaliações de conformidade PCI para acompanhar as novas tecnologias no setor de tecnologia financeira e pagamentos.
O objetivo é tornar a conformidade PCI DSS mais flexível, colocando maior ênfase na tecnologia e nos processos de negócios. Claro, deve-se ter firewalls e antivírus instalados, mas como eles se encaixam nos processos gerais de negócios?
Monitore a seção de perguntas frequentes do site www.pcisecuritystandards.org para obter guias e informações adicionais sobre o PCI DSS v4.0. Mas se você está apenas começando sua jornada de conformidade com o PCI, a melhor coisa a fazer é revisar as metas e os requisitos com seu pessoal de segurança da informação para determinar o que está em conformidade e o que não está.
Depois de identificar as lacunas, considere trabalhar com um parceiro de conformidade PCI experiente para ajudar a vencer essas lacunas.
Agende uma sessão de demonstração conosco, onde iremos responder suas questões e ajudá-lo a entender como a Varonis pode ajudar sua empresa. Depois baixe nosso relatório gratuito sobre os riscos associados à exposição de dados SaaS.