Mapeando o PCI DSS para o Framework de cybersegurança do NIST

Adaptado do texto “NIST Mapping“.

O PCI Data Security Standard (PCI DSS) e o NIST Cybersecurity Framework compartilham o objetivo comum de aprimorar a segurança de dados. O mapeamento do PCI DSS para o NIST Cybersecurity fornece um recurso para as partes interessadas usarem no entendimento de como alinhar os esforços de segurança para atender aos objetivos do PCI DSS e do NIST Framework.

Como atender aos requisitos do PCI DSS pode ajudar a alcançar os resultados da estrutura para ambientes de pagamento. Confira algumas questões sobre o Mapeamento do PCI DSS para o NIST Cybersecurity Framework com o Diretor de Tecnologia do PCI SSC, Troy Leach.

Qual é o documento de mapeamento que o PCI SSC reuniu ?

Com base no feedback das partes interessadas, o PCI SSC achou que seria útil para as organizações entenderem como o PCI Data Security Standard é semelhante ou diferente do NIST Cybersecurity Framework. O que desenvolvemos é um recurso de mapeamento que ilustra como atender aos requisitos do PCI DSS pode ajudara demostrar a obtenção dos resultados do NIST Framework para ambientes de pagamento.

Qual é a diferença entre o PCI DSS e o NIST Cybersecurity Framework?

O NIST Cybersecurity Framework fornece uma estrutura abrangente de segurança e gerenciamento de riscos para uso voluntário por proprietários e operadores de infraestrutura crítica dos EUA. Simplificando, o NIST Cybersecurity Framework fornece objetivos amplos de segurança e gerenciamento de risco com aplicabilidade discricionária com base no ambiente que está sendo avaliado. O PCI DSS define os requisitos de segurança para a proteção dos dados do cartão de pagamento especificamente, bem como os procedimentos de validação e orientação para ajudar as organizações a entender a intenção dos requisitos.

O PCI DSS e o NIST Framework são intercambiáveis ?

Não, eles não são. O PCI DSS e o NIST Cybersecurity Framework são abordagens sólidas de segurança que abordam objetos e princípios de segurança comuns como relevantes para riscos específicos. Enquanto o NIST Cybersecurity Framework identifica resultados e atividades gerais de segurança, o  PCI DSS fornece orientação específica sobre como atender aos resultados de segurança para ambientes de pagamento. Por serem destinados a públicos e usos diferentes, eles não são intercambiáveis e nenhum é substituto do outro.

Como as partes interessadas devem usar o documento de mapeamento divulgado pelo PCI SSC ?

As partes interessadas podem usar esse mapeamento para identificar oportunidades de eficiências de controle e maior alinhamento entre os objetos de segurança da organização. Por exemplo, o mapeamento pode ajudar a identificar onde a implementação de um determinado controle de segurança pode suportar um requisito do PCI DSS e um resultado do NIST Cybersecurity Framework. Além disso, as avaliações internas de uma entidade para determinar a eficácia dos controles implementados podem ajudar a entidade a se preparar para uma avaliação do PCI DSS ou NIST Cybersecurity Framework, ou ambas.

Os interessados podem encontra mais informações sobre os recursos de mapeamento PCI DSS para NIST do PCI SSC nos seguintes links:

Mapping PCI DSS to NIST Cybersecurity Framework

Mapping PCI DSS to NIST Cybersecurity Framework At-a-Glance Summary

Mapping PCI DSS to NIST Cybersecurity Framework – Executive Brief