PCI DSS na máquina de cartão: o que é?

Em Códigos de erro e manutenção por André M. Coelho

O padrão de segurança de dados do setor de pagamento com cartões (Payment Card Industry Data Security Standard ou PCI DSS) é exigido pelo contrato para aqueles dados do titular do cartão, se você é uma empresa de inicialização ou global. Sua empresa deve estar sempre em conformidade e sua conformidade deve ser validada anualmente. Geralmente é mandatado por empresas de cartão de crédito e discutido em acordos de rede de cartão de crédito.

O PCI Standards Council (SSC) é responsável pelo desenvolvimento dos padrões de conformidade com PCI. Sua finalidade é ajudar a proteger e proteger todo o ecossistema do cartão de pagamento. Esses padrões se aplicam aos comerciantes, provedores de serviços processando transações de pagamento de cartão de crédito / débito.

O que é o PCI DSS compliance?

A conformidade ou compliance da indústria de pagamento com cartão (PCI) é mandatada por empresas de cartão de crédito para ajudar a garantir a segurança das transações com cartão de crédito na indústria de pagamentos. O conformidade da indústria de cartões de pagamento refere-se aos padrões técnicos e operacionais que as empresas seguem para proteger e proteger os dados do cartão de crédito fornecidos pelos portadores de cartões e transmitidos por transações de processamento de cartões. Padrões PCI de comopliance são desenvolvidos e gerenciados pelo Conselho Padrões de Segurança do PCI.

Quais são os requisitos para PCI DSS?

PCI DSS tem 12 requisitos, que são um conjunto de controles de segurança que as empresas precisam implementar para proteger os dados do cartão de crédito e cumprir o padrão de segurança de dados do setor de pagamentos com cartão (PCI DSS).

Abaixo listamos os 12 requisitos para o compliance com PCI DSS.

Requisito PCI DSS 1: firewall para proteger os dados do titular do cartão

Este primeiro requisito garante que os provedores de serviços e os comerciantes mantenham uma rede segura por meio da configuração adequada de um firewall, bem como roteadores, se aplicável. Os firewalls configurados corretamente protegem o ambiente de dados do cartão. Os firewalls restringem o tráfego de rede recebido e de saída por meio de regras e critérios configurados pela sua organização.

Os firewalls fornecem a primeira linha de proteção para sua rede. As organizações devem estabelecer padrões de firewalls e roteadores, que permitem um processo padronizado para permitir ou negar regras de acesso à rede. As regras de configuração devem ser revisadas BI-anualmente e garantir que não haja regras de acesso inseguras que possam permitir o acesso ao ambiente de dados do cartão.

Requisito PCI DSS 2: senhas do sistema e outros parâmetros de segurança

Ele se concentra em endurecer os sistemas da sua organização, como servidores, dispositivos de rede, aplicativos, firewalls, pontos de acesso sem fio, etc. A maioria dos sistemas operacionais e dispositivos vêm com configuração padrão de fábrica, como nomes de usuário, senhas e outros parâmetros de configuração inseguros. Esses nomes de usuários e senhas padrão são simples de adivinhar, e a maioria é publicada na Internet.

Essas senhas padrão e outros parâmetros de segurança não são permitidos por este requisito. Esse requisito também pede para manter um inventário de todos os sistemas, configuração / procedimentos de endurecimento. Esses procedimentos precisam ser seguidos toda vez que um novo sistema é introduzido na infraestrutura de TI.

PCI DSS

O PCI DSS é um protocolo para garantir a segurança de dados e pagamentos online. (Imagem: EbizCharge)

Requisito PCI DSS 3: proteger dados do titular do cartão

Este é o requisito mais importante do padrão PCI. De acordo com a Requisição 3, você deve primeiro conhecer todos os dados que você está indo para armazenar junto com seu período de localização e retenção. Todos esses dados do titular do cartão devem ser criptografados usando algoritmos aceitos pelo setor (por exemplo, AES-256, RSA 2048), truncado, truncado, tokenizado ou hashed (por exemplo, Sha 256, PBKDF2). Junto com a criptografia de dados de cartão, este requisito também fala sobre um processo forte de gerenciamento de chaves de criptografia PCI DSS.

Muitas vezes provedores de serviços ou comerciantes não sabem que eles armazenam números de conta primários não criptografados (PAN) e, portanto, executando uma ferramenta como a descoberta de dados do cartão torna-se importante. Você observaria que os locais comuns em que os dados do cartão são encontrados são arquivos de log, bancos de dados, planilhas, etc. Este requisito também inclui regras de como os números da conta principal devem ser exibidos, como revelar apenas os primeiros seis e últimos quatro dígitos.

Requisito PCI DSS 4: criptografar a transmissão de dados do titular

Semelhante ao requisito 3, neste requisito, você deve proteger os dados do cartão quando ele é transmitido em uma rede aberta ou pública (por exemplo, Internet, 802.11, Bluetooth, GSM, CDMA, GPRS). Você deve saber onde você vai enviar / receber os dados do cartão de / para. Maior, os dados do cartão são transmitidos para o gateway, processador, etc. para transações de processamento.

Os cibercriminosos podem acessar potencialmente os dados do titular do cartão quando for transmitido nas redes públicas. Criptografando dados do titular do cartão antes de transmitir usando uma versão segura dos protocolos de transmissão, como TLS, SSH, etc. Pode limitar a probabilidade de tais dados sendo comprometidos.

Requisito PCI DSS 5: software ou programas antivírus

Esse requisito se concentra na proteção contra todos os tipos de malware que podem afetar os sistemas. Todos os sistemas, incluindo as estações de trabalho, laptops e dispositivos móveis que os funcionários podem usar para acessar o sistema localmente e remotamente devem ter uma solução antivírus implantada nelas. Você precisa garantir que os programas antivírus ou anti-malware sejam atualizados regularmente para detectar malware conhecido. Manter um programa anti-malware atualizado impedirá que o malware conhecido de sistemas infectando.

Assegure-se de que os mecanismos antivírus estejam sempre ativos, usando as assinaturas mais recentes e gerando logs auditáveis.

Requisito PCI DSS 3: sistemas e aplicativos seguros

É importante definir e implementar um processo que permita identificar e classificar o risco de vulnerabilidades de segurança no ambiente PCI DSS por meio de fontes externas confiáveis. As organizações devem limitar o potencial de exploração implementando patches críticos em tempo hábil. Isso inclui todos os sistemas no ambiente de dados do cartão, incluindo:

Além disso, requer que você defina e implemente um processo de desenvolvimento que inclua requisitos de segurança em todas as fases de desenvolvimento.

Requisito PCI DSS 7: restringir o acesso aos dados do titular do cartão

Para implementar fortes medidas de controle de acesso, os provedores de serviços e os comerciantes devem ser capazes de permitir ou negar acesso aos sistemas de dados do titular do cartão. Esse requisito é tudo sobre controle de acesso baseado em função (RBAC), que concede acesso a dados e sistemas de cartão em uma base de necessidade de saber.

Precisa saber é um conceito fundamental dentro do PCI DSS. O sistema de controle de acesso deve avaliar cada pedido para evitar a exposição de dados sensíveis àqueles que não precisam dessas informações. Você deve ter uma lista documentada de todos os usuários com suas funções que precisam acessar o ambiente de dados do cartão. Esta lista deve conter, cada função, definição de função, nível de privilégio atual, nível de privilégio esperado e recursos de dados para cada usuário executar operações nos dados do cartão.

Requisito PCI DSS 8: um ID exclusivo a cada pessoa com acesso ao computador

Você não deve usar senhas de usuário/grupo compartilhados. Cada usuário autorizado deve ter um identificador e senhas exclusivos deve ser adequadamente complexo. Isso garante que sempre que alguém acessa os dados do titular do cartão, essa atividade pode ser rastreada para um usuário e responsabilidade conhecidas podem ser mantidas. Para todo o acesso administrativo não console (acesso remoto), é necessária autorização de dois fatores.

Requisito PCI DSS 9: restringir o acesso físico aos dados do titular do cartão

Esse requisito concentra-se na proteção do acesso físico aos sistemas com dados do titular do cartão. Sem controles de acesso físico, pessoas não autorizadas podem obter acesso à instalação para roubar, desativar, interromper ou destruir sistemas críticos e os dados do titular do cartão.

Requer o uso de câmeras de vídeo / controle de acesso eletrônico para monitorar as portas de entrada e saída de locais físicos, como o data center. As gravações ou logs de acesso do movimento de pessoal devem ser vendidos por no mínimo 90 dias. Você precisa implementar um processo de acesso que permita distinguir entre visitantes e funcionários autorizados. Todas as mídias removíveis ou portáteis contendo os dados do titular do cartão devem ser protegidas fisicamente. É necessário destruir todas as mídias quando o negócio não precisa mais.

Requisito PCI DSS 10: controle e monitoramento do acesso a recursos de rede e dados do titular do cartão

As vulnerabilidades em redes físicas e sem fio tornam mais fácil para os criminosos cibernéticos roubar dados do cartão. Esse requisito requer que todos os sistemas tenham configurado a política de auditoria definida e envie os logs para o Syslog Centralized Syslog. Esses logs devem ser revisados ​​pelo menos diariamente para procurar anomalias e atividades suspeitas.

Informações de segurança e ferramentas de monitoramento de eventos (SIEM), podem ajudá-lo a registrar o sistema e as atividades de rede, monitorar logs e alerta de atividade suspeita. O PCI DSS também requer que os registros de trilha de auditoria devem atender a um determinado padrão em termos de informação contidos. A sincronização de tempo é necessária. Os dados de auditoria devem ser garantidos, e esses dados devem ser mantidos por um período não inferior a um ano.

Requisito PCI DSS 11: teste regularmente sistemas e processos de segurança

As vulnerabilidades estão sendo descobertas continuamente por indivíduos maliciosos e pesquisadores, portanto, todos os sistemas e processos devem ser testados com frequência para garantir que a segurança seja mantida.

Seguindo atividades periódicas são necessárias:

Digitalização do analisador sem fio para detectar e identificar todos os pontos de acesso sem fio autorizados e não autorizados em uma base trimestral.

Todos os IPs externos e domínios expostos no CDE são necessários para serem digitalizados por um fornecedor de digitalização aprovado por PCI (ASV) pelo menos trimestral.

A varredura interna de vulnerabilidade deve ser conduzida pelo menos trimestral.

Todos os IPs e domínios externos devem passar pelo teste de penetração de aplicativos exaustivos e teste de penetração de rede pelo menos anualmente ou após qualquer alteração significativa.

O monitoramento de arquivos também é uma necessidade. O sistema deve executar comparações de arquivos a cada semana para detectar alterações que podem ter sido despercebidas.

Requisito PCI DSS 12m,antenha uma política que aborde a segurança da informação para todo o pessoal

Este requisito final da conformidade do PCI e é dedicado ao objetivo central do PCI DSS, que está na implementação e manutenção de uma política de segurança da informação para todos os funcionários e outras partes relevantes. A Política de Segurança da Informação deve ser pelo menos um revisado anual e disseminado a todos os funcionários, fornecedores / contratados. Os usuários devem ler a política e reconhecer.

Este requisito também exige que você execute:

Todos esses requisitos são revisados ​​pela QSA e verificados que são adequadamente implementados.

A conformidade do PCI DSS não é fácil – mesmo para empresas com as melhores intenções. Embora seja um padrão difícil de manter, os benefícios valem a pena. Apesar das dificuldades, as empresas devem se esforçar para cumprir o PCI DSS, porque a falha em cumprir consequências podem ter consequências significativas.

Ficou alguma dúvida? Deixem nos comentários suas perguntas!

Sobre o autor

Autor André M. Coelho

Após ouvir relatos de seus clientes empresariais, André percebeu que existia o receio de aceitar cartões por motivos variados, desde custos até não saber como funcionava uma máquina de cartão. Sendo especialista em finanças e educador financeiro com mais de 300 horas em cursos, André decidiu escrever sobre as máquinas de cartão para ajudar seus leitores e os vendedores que querem entrar neste mundo dos cartões de crédito e débito.

Aviso legal

O conteúdo apresentado no site é apenas informativo com o objetivo de ensinar sobre o funcionamento do mundo financeiro e apresentar ao leitor informações que o ensine a pensar sobre dinheiro. O site Maquininha não faz recomendações de investimentos e em nenhuma hipótese pode ser responsabilizado por qualquer tipo de resultado financeiro devido a práticas realizadas por seus leitores.

Deixe um comentário