by Luiz Felipe Ferreira
Bookmark

Seginfocast #38 – PCI-DSS – Segurança da Informação na Indústria de Pagamentos

Image (1) seginfocast-logo-novo_150.png for post 23628SegInfocast #38 – Faça o download aqui. (12:37 min, 8,71 MB)

Paulo Sant’anna recebe Willian Caprino, Diretor Comercial  da Clavis Segurança da Informação, para uma conversa sobre o PCI-DSS. Ao longo da conversa foi possível discutir diversos aspectos dos padrões de Segurança da Indústria de Pagamentos e a importância de manter um sistema de gerenciamento contínuo de vulnerabilidades.

O que é o PCI Security Standards e quando foi criado?

Willian explica que não existia nenhum padrão de segurança para a indústria de meios de pagamento, Cada bandeira possuía as suas próprias regras, muito semelhantes umas com as outras. Então em 2006, Visa, Mastercard, American Express, JCB e Discover optaram por fundar o PCI Council, criando o padrão único de segurança para meios de pagamento, conhecido popularmente como PCI-DSS.

Quais são as vantagens?

Caprino diz que estar em conformidade com as regras de segurança do PCI diminui os riscos de vazamento de dados de cartões e consequentemente, transações fraudulentas, perdas financeiras e exposição negativa.

Quem deve atender esses requisitos?

Quaisquer empresas que tenham acesso as informações de cartões de pagamento, como lojas, gateways de pagamento na Internet, sites de comércio eletrônico e outros devem seguir os requisitos de segurança estabelecidos pelo PCI. Anualmente é requerido dessas empresas a validação se estão em conformidades com as normas.

Quais são os 12 requerimentos do PCI?

Caprino comenta que há 6 grandes grupos de requerimentos: Construir e manter uma rede segura, proteção dos dados do portador do cartão,  gerenciamento de vulnerabilidades, controle de acesso, monitoramento e testes de rede e por ultimo a parte de políticas, normas e procedimentos de  segurança.

É claro que o fato de atender todos os itens requeridos pela norma (estar em conformidade) não é sinônimo de estar seguro, outros itens do ambiente não descritos pelo PCI podem ser uma porta de entrada para ataques, por isso a necessidade diária de gerenciamento contínuo de vulnerabilidades, monitoramento de redes e resposta a incidentes.

Outro item importante refere-se ao desenvolvimento seguro das aplicações que lidam com os cartões de crédito, item  já tratado no SegInfocast #32

Para ajudar as empresas a atenderem os requisitos do PCI, a Clavis oferece uma série de serviços e produtos como o Octopus, que acompanha e monitora os acessos aos recursos de rede; o BART, que trata de gerenciamento de vulnerabilidades; Testes de invasão; Treinamentos, Análise de Gaps, Construção de documentos e outros serviços, que atendem a diversos requerimentos do PCI.

Willian Caprino, Diretor Comercial Estatutário da Clavis Segurança da Informação, tem experiência de mais de 20 anos na área de TI. É co-fundador da ioPublishing, empresa de produção de conteúdo para a Internet, organizou o livro “Trilhas em Segurança da Informação – Caminhos e Ideias para a Proteção de Dados” e também é um dos organizadores dos eventos de segurança da informação: You Shot The Sheriff e Silver Bullet.