Home O que é conformidade com o PCI DSS?

O que é conformidade com o PCI DSS?

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um conjunto de padrões de segurança desenvolvidos para garantir a proteção dos dados do titular do cartão durante transações com cartão de crédito.

 
  • O que é conformidade com o PCI DSS?
  • Who must comply?
  • What are the 12 PCI DSS requirements?
  • Resources
  • How to be PCI DSS compliant
  • PCI DSS checklist
  • Non-compliance implication
  • ManageEngine solutions that can help with compliance

Take the lead in data protection best practices with our unified SIEM solution!

Get personalised demo Try Log360 Get a quote

O que é conformidade com o PCI DSS?

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um conjunto de padrões de segurança desenvolvidos para garantir a proteção dos dados do titular do cartão durante transações com cartão de crédito. O objetivo é estabelecer um ambiente seguro para organizações que gerenciam pagamentos com cartão de crédito, reduzindo o risco de violação de dados, fraude e acesso não autorizado a informações confidenciais.

Em 2006, o Conselho de Padrões de Segurança do Setor de Cartões de Pagamento (PCI SSC) foi estabelecido por marcas de pagamento importantes, como American Express, Discover Financial Services, JCB International, Mastercard e Visa. Isso representou um marco significativo no desenvolvimento de padrões de segurança unificados. Atualmente, o Conselho tem mais de 700 organizações membros, abrangendo mais de 60 países. A sua principal missão é promover o cumprimento e melhorar o entendimento destes princípios vitais de segurança no setor financeiro.

Quais dados o PCI DSS protege?

O PCI DSS protege especificamente os dados do titular do cartão e informações de autenticação confidenciais. Os detalhes sobre o que essas categorias abrangem são apresentados abaixo:

1. Dados do titular do cartão

Os dados do titular do cartão referem-se a qualquer informação impressa, processada, transmitida ou armazenada de qualquer forma em um cartão de pagamento. De acordo com o PCI DSS, os dados do titular do cartão incluem:

  • Número da conta principal (PAN): Este é o dado mais importante do titular do cartão e é sempre considerado confidencial e deve ser protegido caso armazenado.
  • Nome do titular do cartão:O nome conforme ele aparece na parte da frente do cartão de pagamento.
  • Data de vencimento: O mês e ano em que o cartão de pagamento expira, conforme mostrado no cartão.
  • Código de serviço:Um conjunto de números e/ou letras que aparecem no cartão de pagamento e definem os atributos e permissões do cartão.
2. Dados de autenticação confidenciais

Os dados de autenticação confidenciais incluem informações relacionadas à segurança que são utilizadas para autenticar titulares de cartões e autorizar transações com cartões de pagamento. O PCI DSS exige que esses dados nunca sejam armazenados após a autorização, mesmo que criptografados. Isso inclui:

  • Dados completos da trilha (dados da tarja magnética ou equivalentes em um chip): Esses dados são encontrados na tarja magnética ou chip utilizado para autenticar os dados do cartão e incluem PAN, nome do titular do cartão, data de validade e código de serviço.
  • CAV2/CVC2/CVV2/CID:Esses são os números de três ou quatro dígitos encontrados na frente (American Express) ou verso (Visa, Mastercard e Discover) do cartão que são utilizados para proteger transações com “cartão não presente”.
  • PIN/PIN b lock: O número de identificação pessoal (PIN) inserido pelo titular do cartão durante uma transação com cartão presente e o bloco de PIN criptografado presente na mensagem da transação.

Por que proteger esses dados?

Proteger esses dados é fundamental por vários motivos:

  • Prevenir fraudes: O manuseio seguro dos dados confidenciais do titular do cartão e de autenticação reduz o risco de fraude no cartão.
  • Evitar violações de dados: Medidas de segurança adequadas ajudam a prevenir violações de dados que podem ser caras para as empresas enfrentarem.
  • Construir a confiança: Garantir a segurança dos dados de pagamento ajuda a construir a confiança entre os estabelecimentos comerciais e seus clientes.
  • Cumprir os requisitos legais: O cumprimento do PCI DSS não é opcional para empresas que gerenciam pagamentos com cartão. O descumprimento pode resultar em multas e penalidades pesadas.

Quem deve cumpri-la?

O PCI DSS aplica-se universalmente a qualquer entidade (ou seja, participantes envolvidos no processamento de cartões de pagamento, incluindo estabelecimentos comerciais, provedores de serviços, instituições financeiras etc.) envolvida no armazenamento, processamento ou transmissão de dados do titular do cartão. Ele abrange aspectos técnicos e operacionais dos componentes do sistema associados aos dados do titular do cartão ou conectados a eles. Portanto, se você é um estabelecimento comercial envolvido na aceitação ou processamento de cartões de pagamento, o cumprimento do PCI DSS é obrigatório.

Quem são os estabelecimentos comerciais?

Um estabelecimento comercial é definido como qualquer entidade que aceite cartões de pagamento com os logotipos de quaisquer dos cinco membros do PCI SSC, que inclui Visa, Mastercard, American Express, Discover e JCB, como pagamento de bens ou serviços. Os estabelecimentos têm vários tipos e tamanhos, de pequenas lojas locais até grandes corporações multinacionais, e devem cumprir o PCI DSS em graus variados com base no volume de transações que processam

Categorias de estabelecimentos comerciais
  • Nível 1: Processa mais de seis milhões de transações por ano em todos os canais ou sofreu uma violação/comprometimento de dados que resultou no comprometimento dos dados da conta.
  • Nível 2: Processa de um a seis milhões de transações por ano em todos os canais.
  • Nível 3: Processa de 20.000 a um milhão de transações de e-commerce por ano.
  • Nível 4: Processa menos de 20.000 transações de e-commerce por ano, ou até um milhão de transações anualmente em todos os canais.

Dependendo do volume de transações e requisitos específicos estabelecidos pelo seu banco adquirente, os estabelecimentos comerciais devem validar o seu cumprimento anualmente utilizando um avaliador de segurança qualificado (QSA) externo ou Questionário de Autoavaliação (SAQ).

Quem são os prestadores de serviços?

Um provedor de serviço refere-se a uma organização que processa dados do titular do cartão para outra entidade ou tem potencial para influenciar a segurança do ambiente de dados do titular do cartão. Isso abrange atividades como processamento, armazenamento ou transmissão de dados do titular do cartão. Provedores de serviços gerenciados que oferecem serviços como firewalls gerenciados, sistemas de detecção de intrusões e outros serviços de segurança são exemplos típicos.

Categorias de provedores de serviços
  • Todos os provedores de serviços incluídos no escopo do PCI DSS devem cumpri-lo e validar o cumprimento anualmente, geralmente utilizando um Relatório de Conformidade (ROC), que é um documento oficial que verifica o cumprimento dos requisitos do PCI DSS por uma entidade, normalmente preenchido por um QSA para organizações maiores que processam grandes volumes de transações.

Os provedores de serviços desempenham um papel crítico no ecossistema de pagamentos, pois muitas vezes processam dados confidenciais do titular do cartão ou dados confidenciais de autenticação, tornando o seu cumprimento do PCI DSS fundamental para a segurança global do sistema de pagamentos.

O que um QSA do PCI DSS?

Um QSA é um indivíduo que trabalha para uma empresa de QSA, certificada pelo PCI SSC para realizar avaliações de PCI DSS. Os QSAs devem cumprir os requisitos específicos estabelecidos pelo Conselho, e tanto os avaliadores individuais quanto suas empresas passam por uma certificação e recertificação para garantir que cumprem os padrões do Conselho para a realização de avaliações. Recomenda-se verificar o status de qualificação atual de um QSA sempre que seus serviços forem contratados.

O que é um SAQ?

O Questionário de Autoavaliação (SAQ) é uma ferramenta utilizada pelo PCI DSS para ajudar estabelecimentos comerciais e provedores de serviços a reportar os resultados da sua autoavaliação do PCI DSS. O SAQ inclui várias perguntas correspondentes aos requisitos do PCI DSS aplicáveis à operação com cartões de pagamento. O objetivo do SAQ é ajudar as entidades na avaliação do seu cumprimento dos padrões do PCI DSS.

Tipos de SAQs

Há vários tipos de SAQs, todos eles projetados para atender a diferentes cenários, dependendo de como uma organização processa dados de cartões de pagamento:

  • SAQ A: Para estabelecimentos comerciais com todas as funções de dados do titular do cartão terceirizadas. Isso pode ser feito para e-commerce, correio ou telefone que terceirizaram completamente todas as funções de dados do titular do cartão.
  • SAQ A-EP: Para estabelecimentos de e-commerce que terceirizam o processamento de dados do titular do cartão parcialmente para prestadores de serviços terceirizados, mas não armazenam, processam ou transmitem quaisquer dados do titular do cartão nos seus sistemas ou instalações.
  • SAQ B: Para estabelecimentos comerciais que usam apenas terminais de pagamento discados independentes e não armazenam dados do titular do cartão eletronicamente.
  • SAQ C: Para estabelecimentos comerciais com sistemas de aplicações de pagamento conectados à internet, sem armazenamento eletrônico de dados do titular do cartão.
  • SAQ D: Para aqueles que não se enquadram nas descrições dos tipos de SAQ anteriores e frequentemente são provedores de serviços cujos modelos operacionais incluem armazenamento, processamento ou transmissão de dados do titular do cartão.

Quais são os quatro níveis do PCI DSS?

O cumprimento do PCI é categorizado em quatro níveis com base no volume anual de transações com cartão processadas:

  • PCI Nível 1: Empresas que processam mais de seis milhões de transações anualmente.
  • PCI Nível 2: Empresas que processam de um milhão a seis milhões de transações anualmente.
  • PCI Nível 3: Empresas que processam de 20.000 a um milhão de transações anualmente.
  • PCI Nível 4: Empresas que processam menos de 20.000 transações anualmente. Os estabelecimentos comerciais podem verificar seu nível de cumprimento do PCI ao realizar a coordenação com seus provedores de serviços ou utilizando ferramentas de relatórios. É aconselhável verificar os níveis de estabelecimentos comerciais específicos aplicáveis às operadoras de cartão de crédito utilizadas.

Para empresas que desejam cumprir o PCI DSS e se estabelecer como marcas confiáveis, a etapa inicial e fundamental é determinar o nível atual de conformidade com o PCI DSS.

Quais são os 12 requisitos do PCI DSS?

O PCI DSS descreve 12 requisitos que as organizações devem cumprir para proteger os dados do titular do cartão e obter conformidade. Esses requisitos foram elaborados para estabelecer um ambiente seguro para transações com cartões de crédito e mitigar o risco de violações de dados.

Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão

Este requisito envolve a criação de firewalls para criar uma barreira entre o ambiente de dados do titular do cartão e outras redes, como a Internet. O objetivo é impedir o acesso não autorizado à rede e aos dados sensíveis que ela contém. As empresas devem ter políticas formais para configurações de firewalls e roteadores para garantir que eles sejam configurados e mantidos adequadamente.

Caso de uso: Uma empresa de varejo implementa um firewall dinâmico para acompanhar todo o tráfego de rede de entrada e saída com base em regras de segurança predeterminadas visando impedir o acesso não autorizado à sua rede onde os sistemas de pagamento estão.

Requisito 2: Não usar padrões fornecidos pelos fornecedores para senhas do sistema e outros parâmetros de segurança

As senhas e configurações padrão fornecidas pelos fornecedores costumam ser bem conhecidas e representam um risco de segurança importante. Este requisito enfatiza a mudança de senhas e configurações padrão para configurações seguras, desativando serviços e contas desnecessários e removendo funcionalidades desnecessárias para minimizar vulnerabilidades potenciais.

Caso de uso: Uma rede de restaurantes personaliza todas as senhas e configurações de segurança nos seus novos sistemas de ponto de venda (PDV) após a instalação, alterando as senhas padrão e desativando serviços desnecessários para aumentar a segurança.

Requisito 3: Proteger os dados armazenados do titular do cartão

Isso envolve utilizar métodos de proteção de dados, como criptografia, truncamento, mascaramento e hashing visando proteger os dados armazenados do titular do cartão em repouso e em trânsito. Dados em repouso referem-se a informações inativas armazenadas fisicamente em qualquer formato digital (por exemplo, bancos de dados, discos rígidos, backups externos). A proteção de dados em repouso envolve garantir que usuários não autorizados não possam acessá-los ou modificá-los, normalmente usando criptografia, controles de acesso fortes e técnicas de mascaramento de dados. Dados em trânsito são quaisquer informações que se movem através de uma rede, incluindo transferências de armazenamento local para um servidor remoto ou entre locais na web. Os dados em trânsito são suscetíveis a interceptação, espionagem ou manipulação e, portanto, exigem protocolos de criptografia fortes, como serviços TLS ou VPN, para protegê-los. O objetivo é tornar os dados ilegíveis e inúteis para indivíduos não autorizados, mesmo que eles consigam acessá-los. Este requisito estabelece que as organizações devem criptografar os dados do titular do cartão quando armazenados, seja em disco, bancos de dados ou outras mídias de armazenamento. Elas também devem implementar práticas robustas de criptografia e gerenciamento de chaves.

Caso de uso: Um site de e-commerce criptografa registros de bancos de dados contendo dados de titulares do cartão usando algoritmos criptográficos fortes para garantir que essas informações sejam ilegíveis e protegidas contra acesso não autorizado.

Requisito 4: Criptografar a transmissão de dados do titular do cartão em redes públicas abertas

Os dados do titular do cartão transmitidos por redes públicas abertas (como a Internet) devem ser criptografados para proteção contra interceptação por agentes mal-intencionados. Tecnologias de transmissão segura, como Secure Sockets Layer (SSL) ou Transport Layer Security (TLS), Internet Protocol Security (IPSec) e Secure Shell (SSH) são normalmente utilizadas para cumprir esse requisito.

Caso de uso: Uma livraria online utiliza TLS para criptografar as transmissões de dados entre os navegadores dos seus clientes e seus servidores ao processar pagamentos com cartão de crédito visando evitar a interceptação de dados.

Requisito 5: Proteger todos os sistemas contra malware e atualizar softwares ou programas antivírus regularmente

Este requisito exige o uso de software antivírus em todos os sistemas comumente afetados por malware (incluindo computadores pessoais e servidores). Uma das principais funções dos softwares antivírus é prevenir, detectar e remover infecções por malware. O malware, ou software malicioso, inclui vírus, worms, cavalos de Troia, ransomware, spyware e outros programas de computador prejudiciais que podem ser utilizados para obter acesso não autorizado a sistemas, roubar informações confidenciais e interromper as operações de computadores. Ao instalar e atualizar softwares antivírus regularmente, as empresas podem reduzir o risco de infecções por malware que podem comprometer os dados do titular do cartão.

Caso de uso: Um provedor de serviços financeiros implanta um software antivírus em todos os seus desktops e servidores, garantindo que ele seja configurado para atualização automática visando oferecer proteção contra malware direcionado especificamente aos dados do titular do cartão.

Requisito 6: Desenvolver e manter sistemas e aplicações seguros

Este requisito é abrangente, incluindo diretivas para práticas de desenvolvimento seguras, gerenciamento de vulnerabilidades e implementação de patches de segurança, que são fundamentais para preencher os hiatos de segurança que poderiam ser exploradas por ataques cibernéticos. Especificamente, ele envolve garantir que todos os componentes do sistema e software estejam protegidos contra vulnerabilidades conhecidas, instalando patches de segurança aplicáveis dentro de um mês após o lançamento, utilizando práticas de codificação seguras (validadas por padrões da indústria, como OWASP), realizando avaliações de segurança e executando revisões de código.

Este requisito também exige o desenvolvimento de aplicações seguras usando um processo formalizado de desenvolvimento de software, integrando a segurança da informação ao longo de todo o ciclo de vida e treinando os desenvolvedores em diretrizes de codificação segura. O objetivo é minimizar os riscos associados às vulnerabilidades de software, que podem levar a acessos não autorizados ou ataques como violações de dados, garantindo que a integridade e confidencialidade das informações do titular do cartão sejam sempre mantidas.

Caso de uso: Um desenvolvedor de aplicações de pagamento móvel aplica patches de fornecedores regularmente e realiza análises de segurança do seu código de software antes do lançamento para detectar vulnerabilidades potenciais, como falhas de injeção de SQL.

Requisito 7: Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento

Este requisito garante que o acesso aos dados do titular do cartão seja concedido apenas a indivíduos cujo trabalho exija este acesso. O princípio do menor privilégio é aplicado para minimizar o número de pessoas com acesso a informações confidenciais, reduzindo assim o risco de exposição de dados.

Caso de uso: Uma seguradora de saúde implementa controles de acesso baseados na função para garantir que apenas a equipe do departamento de cobrança tenha acesso aos dados do titular do cartão com base nas suas responsabilidades profissionais.

Requisito 8: Identificar e autenticar o acesso aos componentes do sistema

Isso envolve implementar medidas para autenticar e identificar exclusivamente cada pessoa com acesso ao ambiente de dados do titular do cartão, como atribuir um ID exclusivo a cada usuário e adotar métodos de autenticação fortes (por exemplo, senhas, tokens, biometria, MFA).

Caso de uso: Um hotel atribui IDs de usuário individuais a cada um dos seus funcionários que interagem com seus sistemas de processamento de pagamentos para permitir o rastreamento de ações em sistemas de dados críticos.

Requisito 9: Restringir o acesso físico aos dados do titular do cartão

O acesso físico aos sistemas e mídias contendo dados do titular do cartão deve ser controlado e restrito a indivíduos autorizados. Isso inclui o gerenciamento seguro de mídias físicas (por exemplo, registros em papel, discos rígidos), descarte adequado de mídias contendo dados do titular do cartão e manutenção de controle rigoroso sobre o acesso físico às instalações de processamento de dados.

Caso de uso: Um data center com servidores que armazenam dados de titulares de cartão utiliza a autenticação biométrica (por exemplo, scanners de impressão digital) em todos os pontos de entrada para proteger suas instalações e impedir o acesso físico não autorizado.

Requisito 10: Rastrear e monitorar todos os acessos aos recursos da rede e aos dados do titular do cartão

Auditar e monitorar acessos e atividades de usuários usando uma solução de gerenciamento de logs automatizada e centralizada. Este requisito é fundamental para detectar, prevenir e responder a violações de segurança que possam comprometer os dados do titular do cartão. Ele abrange um conjunto de protocolos específicos para criar trilhas de auditoria que são fundamentais para fornecer um registro histórico de segurança para ajudar a identificar a origem de um comprometimento de dados.

Caso de uso: Uma grande empresa varejista implementa mecanismos de logs que registram e monitoram todo o acesso aos recursos da rede e aos dados do titular do cartão para detectar e responder a incidentes de segurança prontamente.

Requisito 11: Testar sistemas e processos de segurança regularmente

Testes regulares de sistemas e processos de segurança são necessários para garantir que sejam eficazes e identificar vulnerabilidades. Isso pode incluir testes de penetração, verificações de vulnerabilidades e testes de controles de segurança para garantir que funcionem corretamente e protejam o ambiente de dados do titular do cartão conforme pretendido.

Caso de uso: Uma empresa de serviços de TI realiza verificações mensais de vulnerabilidades e testes de penetração anuais nas suas redes que armazenam dados de titulares de cartão para identificar e remediar pontos fracos de segurança.

Requisito 12: Manter uma política que aborde a segurança da informação para todo o pessoal

Este requisito enfatiza a importância de manter uma política de segurança forte que seja comunicada e entendida por toda a equipe. Isso inclui o estabelecimento de uma política de segurança da informação, treinamento regular de conscientização sobre a segurança e um plano de resposta a incidentes em caso de violação de dados.

Caso de uso: Um escritório de advocacia desenvolve políticas de segurança completas que são revisadas anualmente e oferece treinamento regular em segurança aos seus funcionários para assegurar que eles entendam e possam implementar essas medidas de segurança.

Como cumprir o PCI DSS

Para cumprir os requisitos do PCI DSS, as entidades envolvidas no armazenamento, processamento ou transmissão de dados do titular do cartão devem seguir uma abordagem estruturada. Isso envolve diversas etapas que ajudam a garantir que todos os aspectos do PCI DSS sejam abordados de maneira eficaz. Aqui está uma análise detalhada de cada etapa

  • Etapa 1: Definir o escopo A primeira etapa é determinar o escopo do cumprimento com precisão, identificando todos os componentes do sistema, processos e redes que estão envolvidos no tratamento dos dados do titular do cartão. Isso inclui quaisquer sistemas que possam afetar a segurança do ambiente de dados do titular do cartão (CDE). É fundamental definir o CDE claramente para concentrar os esforços de cumprimento nas partes relevantes da rede, reduzindo a complexidade e custos.
  • Etapa 2: Avaliar o ambiente Após o escopo ser definido, a próxima etapa envolve avaliar a conformidade de todos os componentes do sistema no escopo em relação aos requisitos do PCI DSS. Esta avaliação pode ser realizada internamente utilizando um SAQ ou realizada por um auditor externo ou QSA. Seja qual for a solução adotada, o objetivo é identificar eventuais lacunas de conformidade e entender o nível de cumprimento de cada um dos requisitos.
  • Etapa 3: Gerar o relatório de conformidade Após a avaliação, a entidade deve preencher a documentação necessária, que varia de acordo com o porte da entidade e volume de transações. Os estabelecimentos comerciais menores podem ser elegíveis para preencher um SAQ, enquanto os estabelecimentos comerciais maiores e provedores de serviços podem exigir um ROC mais detalhado. Esta documentação inclui detalhes dos requisitos do PCI DSS, como a entidade cumpre cada requisito e quaisquer controles mitigatórios em vigor.
  • Etapa 4: Obter atestado Após a conclusão dos relatórios exigidos, a entidade deve preencher um Atestado de Conformidade (AOC), que é uma declaração formal do status de cumprimento do PCI DSS pela entidade. Este atestado é assinado por um diretor da empresa, afirmando a precisão e integridade da avaliação do PCI DSS.
  • Etapa 5: Enviar relatórios O SAQ ou ROC, juntamente com o AOC e outra documentação comprobatória solicitada, como relatórios de varredura de um Fornecedor de Varredura Aprovado (ASV), devem ser enviados às partes relevantes. Para os estabelecimentos comerciais, isso geralmente significa o envio ao seu adquirente (o banco ou instituição financeira que processa os pagamentos com cartão). Para provedores de serviços, a documentação normalmente é enviada à bandeira de pagamento ou solicitante que requer a validação de conformidade.
  • Etapa 6: Tomar medidas corretivas Caso a avaliação revelar quaisquer áreas de não conformidade, a entidade deverá abordá-las utilizando um processo de remediação. Isso envolve corrigir os problemas que foram identificados durante a avaliação para tornar os componentes do sistema anuentes. Os esforços de remediação devem ser documentados, incluindo as ações tomadas e prazos para resolução. Após a correção, pode ser necessário reavaliar as áreas afetadas visando assegurar que agora elas cumpram os requisitos do PCI DSS.

Ao seguir essas etapas metodicamente, as entidades podem garantir que cumprem os requisitos do PCI DSS, protegendo assim os dados do titular do cartão e reduzindo o risco de violações de dados.

A tabela a seguir descreve os controles e processos de segurança necessários para cumprir os requisitos do PCI DSS.

 

Construir e manter uma rede e sistemas seguros

  Requisito Descrição Controles e processos de segurança Como a ManageEngine pode ajudar
1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão Os firewalls atuam como barreiras, regulando o fluxo de tráfego digital que entra e sai da rede de uma organização, além de gerenciar o acesso a zonas restritas na sua infraestrutura interna. As capacidades de um firewall podem ser integradas a vários componentes do sistema. Estabelecimento de padrões de configuração
  • Estabelecer um padrão de configuração para firewall, roteadores ou qualquer dispositivo de rede implantado no ambiente do titular do cartão.
  • Testar as opções de configuração sempre que elas forem alteradas.
  • Documentar todas as conexões com o CDE, até mesmo as conexões sem fio.
 A solução de SIEM unificada da ManageEngine, o Log360, pode monitorar mudanças na configuração do firewall e registrar atividades do firewall para verificar problemas no sistema.
      Segmentação de rede e configuração de regras de firewall
  • Bloquear o tráfego, tanto de entrada quanto de saída, de fontes não confiáveis.
  • Permitir apenas o tráfego específico para o CDE.
  • Revisar as regras de firewall regularmente (pelo menos a cada seis meses).
  • Não fornecer acesso à Internet a nenhum sistema no qual os dados do titular do cartão residem.
  • Qualquer dispositivo (de trabalho ou pessoal) que acesse o ambiente de dados do titular do cartão enquanto estiver conectado à Internet deve ter um software de firewall pessoal ou proteção similar.
 O Log360 pode ajudá-lo a revisar as regras do firewall regularmente, monitorar e receber alertas sobre mudanças nas regras e fornecer insights e análises para verificar se as alterações nas regras de firewall foram autorizadas.
2. Não usar padrões fornecidos pelos fornecedores para senhas do sistema e outros parâmetros de segurança Isso obriga a mudança das configurações padrão para proteger os sistemas contra acesso não autorizado.
  • Os sistemas devem ter seus padrões e serviços desnecessários removidos ou alterados antes de serem conectados à rede.
  • Os parâmetros de segurança devem ser personalizados para cada instalação. Os serviços desnecessários devem ser desativados para minimizar vulnerabilidades, e as senhas padrão devem ser alteradas para senhas fortes e complexas.
  • As configurações do sistema devem ser revisadas e auditadas regularmente.
 O Log360 audita mudanças nas configurações e permissões do sistema, alertando os administradores sobre modificações não autorizadas nas configurações de segurança.
 

Proteger os dados do titular do cartão

  Requisito Descrição Controles e processos de segurança Como a ManageEngine pode ajudar
3. Proteger os dados armazenados do titular do cartão O armazenamento dos dados do titular do cartão aumenta o risco. Portanto, ele deve ser feito de maneira segura, usando controles rigorosos.
  • Métodos de proteção de dados como criptografia, truncamento, mascaramento e hashing são necessários para garantir que os dados sejam tornados ilegíveis para usuários não autorizados
  • Os controles de acesso devem restringir a visibilidade dos dados às pessoas explicitamente autorizadas.
 O Log360 ajuda a assegurar que o armazenamento de dados seja anuente ao fornecer relatórios sobre mecanismos de processamento e armazenamento de dados e alertar sobre tentativas de acesso não autorizado.
4. Criptografar a transmissão de dados do titular do cartão em redes públicas abertas Os dados são particularmente vulneráveis durante a transmissão por redes não seguras, como a Internet.
  • Protocolos de criptografia como TLS, SSL ou IPsec devem ser utilizados para criptografar dados durante a transmissão.
  • Deve haver mecanismos para garantir que somente protocolos seguros sejam usados
  
 

Manter um programa de gerenciamento de vulnerabilidades

  Requisito Descrição Controles e processos de segurança Como a ManageEngine pode ajudar
5. Usar e atualizar softwares ou programas antivírus regularmente O malware pode infectar vários sistemas e acessar ou corromper dados confidenciais
  • O software antivírus deve ser utilizado e mantido atualizado em todos os sistemas propensos a ataques de malware.
  • Verificações regulares devem ser agendadas e logs das varreduras e ações tomadas devem ser mantidos para garantir uma proteção contínua.
 O Log360 integra-se a sistemas antivírus para centralizar as informações de geração de logs, fornecendo alertas e relatórios detalhados sobre ameaças detectadas e status da atualização.
6. Desenvolver e manter sistemas e aplicações seguros Vulnerabilidades em sistemas e aplicações podem ser exploradas para obter acesso não autorizado aos dados do titular do cartão.
  • O gerenciamento de patches é fundamental — todos os softwares devem ter patches de acordo com os padrões de segurança mais recentes, sem atrasos.
  • Práticas de codificação seguras devem ser seguidas para minimizar as vulnerabilidades de codificação. Revisões de segurança e testes de penetração regulares devem ser realizados para identificar e remediar pontos fracos de segurança.
 O Log360 pode monitorar scanners de vulnerabilidades e softwares de gerenciamento de patches para verificar logs de sistemas e aplicações de segurança em busca de sinais de configuração incorreta ou vulnerabilidades não corrigidas. Ele também pode rastrear instalações de patches e alertar sobre sistemas que não têm atualizações críticas de segurança.
 

Implementar fortes medidas de controle de acesso

  Requisito Descrição Controles e processos de segurança Como a ManageEngine pode ajudar
7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento Somente aqueles com necessidades comerciais legítimas devem ter acesso a dados confidenciais.
  • As políticas de controle de acesso devem garantir que o acesso não seja excessivamente amplo e restrito com base na função.
  • Revisões e atualizações regulares dos controles de acesso devem ser realizadas para adaptação às mudanças nas funções da equipe.
 O Log360 fornece monitoramento e auditoria em tempo real de controles de acesso e atividades de usuários, garantindo que somente usuários autorizados possam acessar os dados confidenciais.
8. Atribuir um ID exclusivo a cada pessoa com acesso ao computador Rastrear e monitorar atividades individuais de usuários exige um identificador exclusivo para cada usuário.
  • A identificação do usuário envolve a atribuição de um ID exclusivo a cada um, que deve ser utilizado para monitorar as atividades do usuário.
  • Combinado com a MFA, um ID de usuário aumenta a segurança significativamente.
 Combinado com a MFA, um ID de usuário aumenta a segurança significativamente.
9. Restringir o acesso físico aos dados do titular do cartão Os controles de segurança física protegem contra o acesso não autorizado de pessoal.
  • Controles físicos, como cadeados, acesso por cartão e sistemas biométricos, devem ser implementados.
  • Sistemas de videovigilância e alarme também são recomendados para monitorar o acesso a áreas sensíveis.
 Ele garante que todas as atividades do usuário sejam registradas e rastreáveis até IDs de usuário individuais. O AD360 oferece suporte à implementação de MFA e monitora o cumprimento de políticas de autenticação de usuários.
 

Monitorar e testar as redes regularmente

  Requisito Descrição Controles e processos de segurança Como a ManageEngine pode ajudar
10. Rastrear e monitorar todos os acessos aos recursos da rede e aos dados do titular do cartão O monitoramento contínuo de todas as atividades de rede e acesso a dados é fundamental para a segurança.
  • Ferramentas de monitoramento automatizadas devem ser utilizadas para registrar e analisar todos os acessos aos recursos da rede e dados do titular do cartão.
  • Revisões regulares dos logs de acesso são necessárias para identificar e responder a tentativas de acesso não autorizado.
 O Log360 oferece amplas capacidades de geração de logs, alertas em tempo real e ferramentas automatizadas de análise de logs para garantir que todo o acesso seja monitorado e registrado, facilitando a detecção rápida de incidentes de segurança.
11. Testar sistemas e processos de segurança regularmente Testes regulares ajudam a identificar vulnerabilidades em sistemas e processos de segurança. Testes regulares, incluindo verificações de vulnerabilidades e testes de penetração, devem ser realizados para avaliar a robustez das medidas de segurança. Os sistemas de segurança devem ser testados para assegurar que funcionam conforme pretendido e são eficazes contra ameaças. O Log360 facilita testes contínuos de segurança, fornecendo ferramentas para agendar verificações regulares e se integrando a soluções de teste externas para melhorar a supervisão da segurança.
 

Manter uma política de segurança da informação

  Requisito Descrição Controles e processos de segurança Como a ManageEngine pode ajudar
12. Manter uma política que aborde a segurança da informação para todo o pessoal Uma política de segurança forte é fundamental para manter operações seguras.
  • As políticas de segurança devem ser completas e cobrir todos os aspectos das operações.
  • Programas regulares de treinamento e conscientização devem ser realizados para garantir que todo o pessoal esteja informado sobre suas responsabilidades de segurança.
  

Casos de uso

Descobrir e proteger

Descubra e proteja informações de cartões de crédito usando o Log360

Learn more  
Detecte mudanças

Usando o Log360 para detectar mudanças nos dados confidenciais armazenados em bancos de dados

Learn more  

Lista de verificação do PCI DSS

  • Utilizar senhas fortes: As senhas de usuários precisam ser difíceis de explorar, o que é obtido por meio do uso de caracteres especiais, evitando padrões de caracteres, criando senhas mais longas e usando todos os tipos de caracteres permitidos. As senhas também precisam ser alteradas regularmente para manter sua força.
  • Criptografar informações confidenciais: Para proteger dados confidenciais, como informações de cartões de crédito, é importante criptografá-los enquanto são armazenados e transmitidos.
  • Utilizar firewalls: Os firewalls são um componente fundamental da segurança de rede. Eles evitam o acesso não autorizado a uma rede, controlando o tráfego de entrada e saída.
  • Obter gateways de pagamento seguros: Gateways de pagamento seguros garantem a proteção de informações confidenciais de pagamento durante as transações usando criptografia e outras medidas de segurança.
  • Usar softwares antivírus: Os softwares antivírus ajudam a proteger o sistema contra ataques de malware, o que pode causar sérios danos à rede.
  • Limitar o acesso remoto e físico: Limitar o acesso remoto e físico aos recursos da rede é uma etapa fundamental na proteção de dados confidenciais contra acesso não autorizado.
  • Ter uma política de avaliação de segurança: Uma política de avaliação de segurança descreve as medidas tomadas para proteger informações confidenciais e garante que todos os funcionários estejam conscientes da importância da proteção de dados.
  • Restringir o tráfego para sistemas de pagamento: Para garantir a segurança dos sistemas de pagamento, é importante restringir o tráfego apenas ao necessário e bloquear qualquer tráfego indesejado.

Implicação da não conformidade

O PCI DSS fornece diretrizes para proteger informações confidenciais, mas o cumprimento dessas diretrizes não é um requisito legal. Os regulamentos são gerenciados e mantidos internamente pelo setor por meio de acordos com fornecedores. O cumprimento dos 12 requisitos estabelecidos pelo PCI DSS salvará as organizações de uma série de consequências, incluindo multas de US$ 5.000 a US$ 100.000 e a possibilidade de ações judiciais, reclamações de seguros, contas canceladas e retirada de serviços de processamento de crédito caso um incidente de segurança ocorrer.

Os danos causados pelos dados comprometidos podem ser generalizados e duradouros, afetando consumidores, estabelecimentos comerciais e instituições financeiras e potencialmente causando danos irreparáveis à reputação e sucesso futuro de uma empresa.

As consequências de uma violação também podem envolver os seguintes resultados:

  • Avaliação presencial por um QSA.
  • Detailed forensic investigation.
  • Investigação forense detalhada.
  • Monitoramento de crédito gratuito para os clientes afetados.
  • Reparos e atualizações da tecnologia.
  • Notificação do público sobre a violação.

Soluções da ManageEngine que podem ajudar no cumprimento

Log360

O Log360 é uma solução de SIEM unificada com capacidades integrados de DLP e CASB que detecta, prioriza, investiga e responde a ameaças de segurança. O Vigil IQ, módulo de TDIR da solução, combina inteligência sobre ameaças, um Workbench de Incidentes analítico, detecção de anomalias baseada em ML e técnicas de detecção de ataques baseadas em regras para detectar ataques sofisticados, além de oferecer um console de gerenciamento de incidentes para remediar as ameaças detectadas com eficácia. O Log360 oferece visibilidade holística de segurança em redes locais, na nuvem e híbridas com seus recursos intuitivos e avançados de análise e monitoramento de segurança.

Faça o teste por 30 dias

AD360

AD360 da ManageEngine é uma solução unificada de gerenciamento de identidade e acesso (IAM) que ajuda a gerenciar identidades, proteger o acesso e garantir a conformidade. Ele é oferecido com capacidades poderosas, como gerenciamento automatizado do ciclo de vida de identidades, certificação de acesso, avaliação de risco, login único seguro, MFA adaptável, fluxos de trabalho baseados na aprovação, proteção contra ameaças de identidades orientada por UBA e relatórios históricos de auditoria do AD, Exchange Server e Microsoft 365 . A interface intuitiva e capacidades poderosas do AD360 tornam este produto a solução ideal para suas necessidades de IAM, incluindo a promoção de um ambiente Zero Trust.

Faça o teste por 30 dias

Isenção de responsabilidade: Este guia foi criado com referência a documentos oficiais sobre o PCI DSS publicados por autoridades governamentais relevantes. O objetivo é fornecer uma explicação clara e completa do Requisito 2 do PCI DSS. O conteúdo é apenas para fins informativos e não deve ser considerado como assessoria jurídica. As organizações devem consultar um consultor do PCI DSS qualificado para garantir o cumprimento.

Simplifique os relatórios de conformidade de TI com o EventLog Analyzer
  •  
     
  • -Selecione-
Ao clicar em 'Solicitar Demo', você concorda com o processamento de dados pessoais de acordo com o Privacidade Política.
Obrigado por entrar em contato conosco.

Entraremos em contato com você em breve.

Siga-nos:
       

ManageEngine is a division of Zoho corp.

Recursos
Relacionado

Zoho Corporation Pvt. Ltd. All rights reserved.

×

Baixe o guia de conformidade

Obrigado!

Obrigado por baixar o guia de conformidade. Se você tiver alguma dúvida, envie-nos um email para support@eventloganalyzer.com