Recomendações do PCI-DSS

O Payment Card Industry Security Standards Council (PCI-SSC) foi fundado pela American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc., como um fórum global para a disseminação de padrões de segurança na proteção de dados de pagamento, e define o PCI Data Secutity Standart (PCI-DSS).

O PCI Data Secutity Standart (PCI-DSS) especifica recomendações mínimas de segurança obrigatórias para todas as empresas que participam da rede de captura de pagamento com cartões, o comércio, e prestadores de serviços que processam, armazenam e/ou transmitem eletronicamente dados do portador do cartão de crédito.

Os 12 Requerimentos do PCI-DSSdivlar

Os 12 requerimentos do PCI-DSS são divididos em 6 seções que visam de modo geral proteger a integridade dos dados de pagamento do usuário do cartão de crédito.

A Metodologia de Segurança recomendada com o uso do Sistema RedeSegura atenderá à vários requerimentos de pelo menos três seções do PCI-DSS. Clique nos títulos a seguir e saiba mais:

Seção: Manter um Programa de Gerenciamento de Vulnerabilidades

Requisito 6: Desenvolver e manter sistemas e aplicativos seguros.

O Sistema RedeSegura permite introduzir critérios de avaliação segurança no ciclo de vida do desenvolvimento das aplicações web, a partir da fase de testes de homologação que avaliam a qualidade da segurança nas entregas do desenvolvedor (Quality Assurance), incluindo os ciclos de melhoria e de atualização dos níveis de segurança.

Os critérios de segurança avaliados pelo Sistema RedeSegura atendem aos requisitos de “scanning” do PCI-DSS para a camada da aplicação web.

O Monitoramento do Risco de ataques pelo ambiente de produção da aplicação web cobre a outra fase do seu ciclo de vida, e mantém atualizado um indicador dos níveis de risco à segurança.

Requerimentos atendidos: 6.6 e 6.5 (6.5.1 até 6.5.9). A Metodologia de uso do Sistema RedeSegura e seus recursos também suportam os demais requerimentos 6.1, 6.2, 6.3, 6.4 e seus subitens.

Seção: Monitorar e Testar as Redes Regularmente

Requisito 11: Testar regularmente os sistemas e processos de segurança.

O Sistema RedeSegura testa estática e dinamicamente todas as recomendações de segurança correspondentes à  aplicação web exigidas pelo PCI-DSS, incluindo alguns testes sobre o Sistema Operacional e o Servidor Web (patches de segurança, SSL, e outros). Os testes de vulnerabilidades podem ser feitos externamente ou internamente, tanto no ambiente de desenvolvimento como no de produção, e simulam 39.000 diferentes formas de ataque HTTP a partir de uma base de dados de assinaturas mantida pela tecnologia N-Stalker.

Nossa metodologia de uso permite avaliar continuamente a eficiência dos processos de segurança adotados desde o desenvolvimento. Consulte-nos para saber mais sobre os a cobertura dos testes PCI-DSS do RedeSegura.

Requerimentos atendidos: 11.2 (11.2.1, 11.2.2 como ferramenta do ASV, e 11.2.3). Os recursos do Sistema RedeSegura orientam o processo de “pen test” do requerimento 11.3 (11.3.2).

Seção: Manter uma Política de Segurança das Informações

Recomendação 12: Manter uma política que aborde a segurança das informações.

O Sistema RedeSegura é orientado ao gerenciamento de um processo que monitora os indicadores de vulnerabilidades nas aplicações web, permitindo assim a manutenção de um processo de melhoria contínua da segurança (PDCA).

Este processo estende para a camada da aplicação web o alcance da Política de Segurança da Informação definida pela sua empresa. O processo implementado com a Metodologia de Segurança RedeSegura integrará as equipes técnicas multidisciplinares de segurança da informação, de desenvolvimento, de infraestrutura, de Risco e Compliance, e até a de qualidade, em uma política de segurança mais abrangente e orientada ao PCI-DSS em todo o ciclo de vida das aplicações web.

Requerimentos atendidos: Vários subitens do requisito 12 encontram suporte e documentação na Metodologia de uso do Sistema RedeSegura e seus recursos.

A metodologia de uso do Sistema RedeSegura para o Gerenciamento de Vulnerabilidades permitr manter o nível da segurança da aplicação web em conformidade com os patamares exigidos, mantendo evidências dos testes e indicadores de resultados auditáveis, o que garante o atendimento à estas 3 recomendações do PCI-DSS.

Auditorias e Formalidades do PCI Compliancedivlar

(QSA) O processo de certificação do PCI-DSS (versão 2.0) para empresas (merchants) que movimentam volumes acima de 6 milhões de transações exige um relatório de auditoria “on site” feito por uma empresa credenciada como Entidade Certificadora, definida como Qualified Security Assessor (QSA):

Auditoria independente que avalia a aderência da empresa a todos os requerimentos de segurança do PCI-DSS

Analisa a documentação de segurança, relatórios anteriores de “scanning” internos e externos (ASV Report)

Emite um relatório formal após a avaliação “on-site” (annual report)

(SAQ) As demais empresas que movimentam menos de 6 milhões de transações por ano devem responder um questionário Self-Assessment Questionnaire (SAQ), além de contratar trimestralmente um scanning externo:

Instrumento de validação para empresas que não precisam se certificar através de um QSA (pequenas e médias)

SAQs diferentes são definidos para cada situação do negócio

Independentemente do volume de transações anuais, é recomendado que a empresa realize trimestralmente pelo menos um teste de avaliação externo para identificar vulnerabilidades no seu ambiente de infra-estrutura, assim como sobre a aplicação web, além de testes internos regurares que avaliam a segurança de seu ambiente preventivamente.

(ASV) Para os testes externos trimestrais a empresa deve contratar o serviço de um Approved Scanning Vendor (ASV), e para os testes internos pode utilizar-se de recursos e ferramentas próprias, de terceiros, ou de um ASV:

O ASV utiliza um conjunto de ferramentas de teste, uma metodologia padrão, e uma equipe técnica com pessoal Certificado pelo PCI para realizar os testes definidos no requerimento 11.2 do PCI-DSS;

O “scanning” de vulnerabilidade será realizado externamente, via acesso internet ao menos uma vez a cada trimestre. A sua empresa (Scan Customer) deve realizar periodicamente “scans” internos com o mesmo alcance dos testes do ASV.

Os testes não podem causar impacto, não incluem penetração, e geram um relatório com evidências (ASV Scan Report Attestation of Scan Compliance cover sheet).

O Sistema RedeSegura “powered by” N-Stalker pode integrar a Solução Técnica adotada pelo ASV e/ou QSA como parte de seus recursos de avaliação para o “scanning” externo e certificação, pois produz as evidências e os relatórios de vulnerabilidades que são exigidos como documentação pelo PCI-DSS.

Adicionalmente, o Sistema RedeSegura pode ser adotado como uma ferramenta poderosa para os testes de “scanning” internos da sua empresa, enquanto mantém seu processo de Gerenciamento de Vulnerabilidades.