Texto traduzido e adaptado de “PCI compliance: 4 steps to properly scope a PCI assessment“, escrito por Mary K. Pratt
Qualquer organização que aceite, processe, armazene ou transmita cartões de pagamento deve mostrar que está em conformidade com o PCI DSS (Payment Card Industry Data Security Standard) e, para fazer isso, a organização deve passar por uma avaliação anual do PCI.
Essa avaliação ou auditoria visa confirmar que a organização atende aos requisitos de segurança e controle do PCI DSS.
Como resultado, cada organização deve ter o escopo de sua avaliação de PCI para garantir que está considerando todas as partes de sua infraestrutura e estrutura interna que manipulam ou podem acessar de alguma forma os dados do cartão de pagamento.
Para ajudar a evitar erros por conclusões equivocadas, os especialistas oferecem os seguintes conselhos para definir uma avaliação de PCI:
Comece com uma auto-avaliação para determinar os requisitos
Existem quatro níveis de conformidade com o PCI: o nível 1 se aplica aos comerciantes que processam mais de 6 milhões de transações de cartão por ano, o nível 2 é para aqueles que processam 1 a 6 milhões por ano, o nível 3 é para aqueles que movimentam entre 20.000 e 1 milhão e o nível 4 é para aqueles que processam menos de 20.000 transações anualmente.
Saiba para onde vão os dados do cartão
Os especialistas aconselham os CISOs a mapear seus processos para que possam confirmar como os dados do cartão de pagamento estão sendo coletados, quem e quais sistemas têm acesso a eles, como são armazenados e como e onde são transmitidos. Os CISOs também devem garantir que seus processos estejam devidamente documentados como parte desta etapam, ou seja, devem usar essa parte do exercício de escopo para obter total visibilidade de onde os dados do cartão de pagamento residem em sua organização; isso significa confirmar que é onde deveria estar e procurar descobrir onde reside, mas não deveria.
Limitar riscos para reduzir o escopo
O PCI Security Standard Council oferece orientação sobre escopo e segmentação de rede, descrevendo as diferenças entre “no escopo” (sistemas diretamente envolvidos, conectados ou que impactam a segurança dos dados do portador do cartão) e “conectado a” (aqueles sistemas que se conectam ao CDE) e, em seguida, os sistemas que não têm acesso ao CDE e, portanto, estão “fora do escopo”.
Dessa forma, especialistas afirmam que a segmentação de rede (não necessária, mas eficaz quando realizada adequadamente) pode ajudar as organizações a reduzir os sistemas que afetam o CDE, limitando o escopo da avaliação do PCI e, mais exatamente, reduzindo o risco.
Crie um programa PCI durante todo o ano
Muitas organizações geram uma lista de remediações a serem tomadas e melhorias a serem implementadas durante sua avaliação anual do PCI. Em vez de encarar esse trabalho como um exercício anual vinculado ao processo de certificação, os especialistas recomendam que os CISOs, os responsáveis pela conformidade e suas organizações criem um programa contínuo.
Os CISOs devem ter três escopos PCI diferentes: o que eles acham que é o escopo dos processos, pessoas e tecnologia que tocam nos dados do cartão de pagamento, o que na verdade é uma vez feito o exercício completo de mapeamento de processos e descoberta de dados e um estado futuro em que a segurança está melhorado e os riscos e custos são reduzidos através de uma governança contínua mais forte.
Assim, os CISOs devem garantir que tenham políticas e procedimentos para garantir que, após a avaliação anual, suas organizações não criem ou abram inadvertidamente vulnerabilidades.
Para acessar mais conteúdos como este e ficar por dentro das notícias em segurança da informação, acesse nosso portal e, acompanhe nossas postagens nas redes sociais (instagram, facebook, twitter, youtube).