Quais preparações são necessárias para a conformidade com o PCI DSS?

Escrito por Zevenet | 11 julho, 2022 | Dados Técnicos:

Introdução

O processo de alcançar e manter Conformidade com PCI DSS não é fácil para nenhuma organização. Seja uma organização de grande porte, uma empresa de médio porte ou uma pequena empresa, o PCI DSS pode ser uma tarefa assustadora, pois compreende um conjunto abrangente de requisitos de segurança. Alcançar a conformidade requer um bom entendimento da estrutura de segurança de pagamento e implementação dos requisitos de controle de segurança. Espera-se que as organizações que processam dados de cartão de pagamento atendam aos requisitos Requisitos do PCI DSS 12 para garantir a conformidade e proteger o ambiente de pagamento. Esses requisitos funcionam como diretrizes para as organizações protegerem sua rede e infraestrutura contra ameaças cibernéticas e violações de dados. Elaborando sobre esses requisitos, compartilhamos algumas dicas úteis para se preparar para Auditoria de Conformidade PCI DSS.

Noções básicas sobre os requisitos de conformidade do PCI DSS

Conformidade com PCI DSS é um padrão e estrutura de segurança aplicados pelo PCI Security Standard Council que se concentra na proteção dos dados do titular do cartão. O padrão compreende 12 requisitos descritos pelo conselho que se concentra em medidas técnicas e operacionais para proteger dados confidenciais de titulares de cartões de pagamento. Espera-se que as organizações implementem essas medidas de segurança para alcançar e manter Conformidade com PCI DSS. Portanto, abaixo estão os 12 requisitos que são explicados brevemente para uma melhor compreensão das maneiras de se preparar para a conformidade com o PCI DSS.

Requisito 1 do PCI DSS: Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão
Os comerciantes e provedores de serviços são obrigados a manter uma rede segura com a configuração adequada de firewalls e roteadores. Isso é para proteger o ambiente de dados do cartão e evitar ataques cibernéticos.

Requisito 2 do PCI DSS: Não use padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança
Sistemas e software vêm com senhas e configurações padrão. Assim, para garantir a segurança, espera-se que os comerciantes garantam o fortalecimento dos sistemas, rede e dispositivos da organização com senhas e configurações de segurança fortes. Além disso, espera-se que os comerciantes documentem os procedimentos de proteção do sistema e sigam os protocolos de acordo.

Requisito 3 do PCI DSS: proteger os dados armazenados do titular do cartão
Os comerciantes e provedores de serviços são obrigados a implementar medidas apropriadas para proteger os dados armazenados do titular do cartão. Usando técnicas de criptografia, os dados PAN devem ser protegidos contra violação de dados

Requisito 4 do PCI DSS: criptografar a transmissão de dados do titular do cartão em rede aberta ou pública
Espera-se que os comerciantes criptografem os dados do titular do cartão em trânsito por uma rede pública ou aberta. Além disso, eles devem garantir que os procedimentos e processos de políticas de segurança estejam em vigor para impor as medidas de segurança e os requisitos de criptografia.

Requisito 5 do PCI DSS: Use e atualize o software ou programa antivírus
Espera-se que os comerciantes mantenham seus sistemas e aplicativos atualizados e protegidos com a instalação do software antivírus mais recente em dispositivos e aplicativos. Isso é para garantir proteção contra malware e outros ataques cibernéticos.

Requisito 6 do PCI DSS: desenvolver e manter sistemas e aplicativos seguros
A revisão das implementações de segurança e a instalação de patches de segurança para mitigar os riscos é crucial. A atualização regular desses patches de segurança é essencial para evitar o risco potencial de um hack. Os comerciantes são obrigados a corrigir todos os sistemas dentro do ambiente de dados do cartão e implementar a segurança em todas as fases de desenvolvimento. Além disso, os processos devem estar em vigor para descobrir novas vulnerabilidades em sistemas e aplicativos.

Requisito 7 do PCI DSS: Restringir o acesso aos dados do titular do cartão por necessidade comercial
Os comerciantes são obrigados a implementar controles de acesso fortes para limitar o acesso aos dados do titular do cartão. Isso evita o acesso não autorizado a dados confidenciais do cartão e o risco potencial de violação ou roubo de dados. Para isso, devem ser estabelecidos os processos necessários para garantir que o acesso aos dados do titular do cartão seja restrito com base na necessidade de conhecimento do negócio.

Requisito 8 do PCI DSS: Identificar e autenticar o acesso aos componentes do sistema
O acesso a sistemas e dados deve ser rastreado e monitorado regularmente. Cada funcionário autorizado deve receber um ID exclusivo como parte das fortes medidas de controle de segurança. Isso é para rastrear as atividades em torno do acesso a sistemas e dados no ambiente do cartão para manter a responsabilidade

Requisito 9 do PCI DSS: Restringir o acesso físico aos dados do titular do cartão
Restringir o acesso físico aos dados do titular do cartão é uma parte essencial da implementação de medidas de controle de segurança. Isso requer a implementação de controles de acesso no local, monitoramento de logs e a implementação de políticas e processos de segurança necessários. Além disso, os comerciantes são obrigados a proteger todos os dispositivos e sistemas com medidas de segurança física e manter backups de todos os dados.

Requisito 10 do PCI DSS: Rastreie e monitore todo o acesso a recursos de rede e dados do titular do cartão
O PCI DSS requer rastreamento e motorização em tempo real de todos os pontos de acesso, incluindo sistemas e rede que incluam dados de cartão. Isso é para identificar e impedir a exploração de vulnerabilidades e ameaças ao ambiente de dados do cartão. Para esta implantação do log, o gerenciamento é essencial para o acompanhamento regular da atividade.

Requisito 11 do PCI DSS: Testar regularmente os sistemas e processos de segurança
A realização regular de avaliações de vulnerabilidade e testes de penetração são essenciais para testar todos os processos do sistema em busca de vulnerabilidades. Isso é para garantir e manter um nível constante de segurança no ambiente de dados do cartão. Todos os sistemas e processos devem ser testados com frequência para garantir que a segurança dos dados seja mantida o tempo todo.

Requisito 12 do PCI DSS: Manter uma política que aborde a segurança da informação para todo o pessoal
A criação e manutenção de políticas que abordem os processos de segurança da informação é necessária do ponto de vista da fiscalização. Todos os funcionários e fornecedores terceirizados devem ter acesso a essas políticas para conhecer melhor suas responsabilidades. Além disso, a política de segurança da informação deve ser revisada anualmente para alinhar o programa de segurança cibernética do comerciante com os requisitos do PCI DSS.

Agora que conhecemos os requisitos técnicos e operacionais que precisam ser implementados para alcançar o PCI DSS, vamos ver como as organizações podem se preparar para a Auditoria de Conformidade do PCI DSS.

Etapas para se preparar para a auditoria do PCI DSS

A preparação para a auditoria de conformidade do PCI DSS pode ser muito estressante. Requer rodadas meticulosas de revisões de avaliação e implementação de processos para garantir que a auditoria final seja um sucesso. Dito isto, aqui estão alguns passos que se pode seguir para se preparar para Auditoria PCI DSS e para garantir que seja um sucesso.

Não assuma estar em conformidade - Os requisitos de conformidade do PCI DSS são frequentemente atualizados pelo PCI Council. Essas atualizações são baseadas na tecnologia em evolução e no cenário de ameaças do setor. Com a última versão do PCI-DSS 4.0 Com lançamento previsto para o primeiro trimestre de 1, as organizações precisam estar atentas aos novos requisitos a serem introduzidos e aplicados pelo conselho. Independentemente de você ter sido compatível com o PCI DSS anteriormente, é apenas a próxima auditoria que sugerirá se você continua ou não em conformidade. A auditoria de conformidade é uma avaliação para verificar se todas as medidas de segurança estão implementadas e de acordo com os mais recentes requisitos de segurança de dados. Portanto, supondo que você esteja em conformidade com base em sua auditoria anterior do PCI DSS pode ser o motivo de sua organização não estar em conformidade na próxima auditoria.

Análise de lacunas de conformidade - Se a sua organização está passando pela avaliação do PCI DSS pela primeira vez, é muito importante identificar onde está seu nível de conformidade “como está”, quais são suas principais lacunas e também os investimentos necessários. Para isso, sua organização deve continuar a realizar uma análise de lacunas em relação aos requisitos de conformidade do PCI DSS imediatamente. Isso é para avaliar e verificar deficiências nos requisitos e trabalhar para preencher as lacunas no sistema. O PCI DSS é um processo contínuo e requer revisão e atualização regulares dos procedimentos e processos de políticas para alinhar as operações de negócios com o padrão de segurança e as metas de segurança cibernética. Portanto, realizar uma análise de lacunas e corrigir a possível lacuna de conformidade é crucial, especialmente antes da auditoria final para garantir a conformidade com o PCI DSS. Novamente, isso não é apenas do ponto de vista da conformidade, mas também da perspectiva de fortalecer a segurança de sistemas, redes e infraestrutura.

Atender a todos os requisitos do PCI DSS – As organizações precisam garantir que atenderam a todos os 12 requisitos descritos na estrutura do PCI DSS para garantir a conformidade com a estrutura padrão de segurança. Compreender os requisitos e suas implicações é essencial para que as organizações implementem as medidas necessárias para a conformidade. Todos os requisitos devem ser atendidos integralmente, conforme aplicável. Deixar de atender a um desses requisitos pode resultar em uma auditoria malsucedida e não conformidade com o PCI DSS. Assim, é obrigatório que os 12 requisitos sejam atendidos e todas as medidas de segurança necessárias sejam implementadas dentro do ambiente de dados de cartão da organização.

Criar diagrama de fluxo de dados e rede - As organizações devem criar e manter um diagrama de rede preciso para entender a conectividade de rede em toda a organização, bem como o fluxo de dados de cartão em toda a rede da organização. Isso fornece uma visão da rede e dos sistemas da organização que lidam com dados de cartão, incluindo armazenamento, processamento e transmissão de dados de cartão. A criação de um diagrama de rede com uma representação visual do fluxograma de dados refletindo o processo de sua organização e o fluxo de dados confidenciais do cartão ajuda a identificar deficiências nas operações. Assim, com base em um diagrama de rede tão detalhado, as organizações podem priorizar medidas de segurança em sistemas, aplicativos, redes e todos os pontos de acesso que lidam com dados de cartão.

Avaliação de risco - A Avaliação de Risco é uma parte essencial e integral de qualquer programa de conformidade e segurança cibernética. É importante que as organizações determinem e compreendam a exposição ao risco com a qual estão lidando. Avaliar o risco e classificar o nível de exposição ao risco com base na gravidade é crucial para que o negócio priorize sua implementação de segurança. Para isso, as organizações devem realizar anualmente uma avaliação de risco para identificar os ativos críticos que estão expostos a ameaças e vulnerabilidades. Essas avaliações ajudam as organizações a tomar medidas proativas para proteger a rede e os dados de seus sistemas contra ameaças cibernéticas em evolução. Também ajuda a alinhar constantemente seu programa de segurança cibernética com os requisitos do PCI DSS.

Políticas e Processo de Documentos - Os documentos relativos às políticas de conformidade, processos, procedimentos e contratos e acordos de fornecedores precisam estar atualizados e atualizados periodicamente. Manter todos os documentos relevantes como evidência na auditoria do PCI DSS é crucial. Os documentos devem incluir todas as medidas de segurança implementadas, procedimentos e processos que reforçam a implementação das políticas de conformidade estabelecidas na organização. Esses registros mostram claramente os esforços da organização para implementar e manter a conformidade com o PCI DSS. A auditoria do PCI DSS envolve a verificação de documentos relacionados aos procedimentos, políticas e registros relevantes para a implementação de políticas. Assim, as organizações devem garantir que toda a documentação esteja atualizada e consistente com as operações diárias. Também é importante observar que qualquer mudança nas políticas, procedimentos ou processo de operação precisa ser documentada e atualizada nos registros regularmente.

Conformidade de fornecedores terceirizados - Embora as organizações terceirizam as atividades de processamento de dados para fornecedores terceirizados, ainda é sua responsabilidade garantir que estejam em conformidade. Os comerciantes precisam garantir que os fornecedores terceirizados com os quais lidam estejam cientes de suas responsabilidades e processem os dados em conformidade com os requisitos do PCI DSS. A falha em garantir sua conformidade pode resultar em violação de dados e não conformidade com o PCI DSS para sua organização também. Isso custará uma fortuna à organização se as medidas necessárias não forem implementadas para monitorar sua atividade. Por esses motivos que envolvem fornecedores terceirizados e outras partes interessadas em conformidade e segurança cibernética, o programa é crucial.

Realizar Avaliação Interna - A realização de uma avaliação interna de tempos em tempos é essencial para identificar lacunas nos processos e pontos fracos nos sistemas. Isso ajuda no processo de correção e preenche as lacunas no programa de conformidade. A realização de uma avaliação interna anual é essencial para que a Auditoria de Conformidade do PCI DSS final seja descomplicada. A organização terá uma chance melhor de alcançar a conformidade com o PCI DSS realizando essas pré-avaliações e auditorias internas antes da final. As organizações serão preparadas com os documentos necessários como evidência e implementaram as medidas de segurança necessárias para garantir a conformidade com o PCI DSS.

Pensamento final
A conformidade com o PCI DSS é inevitável para comerciantes e provedores de serviços no setor de cartões de pagamento. Eles precisam garantir constantemente que atendem a todos os requisitos e garantir a conformidade com o padrão e a estrutura de segurança de pagamento em todos os momentos. Por esses motivos, recomendamos fortemente que as organizações considerem a integração de um consultor e auditor de conformidade profissional e experiente para garantir que seu programa de conformidade esteja no caminho certo e de acordo com o requisito do PCI DSS. Auditorias e avaliações internas regulares por um profissional experiente refletem o compromisso e os esforços de sua organização para proteger os dados e o ambiente do cartão e refletem sua abordagem proativa e iniciativa para cumprir suas obrigações de conformidade para proteger dados confidenciais.

GRAÇAS A:

Narendra Sahoo

COMPARTILHE NO:

Blogs relacionados

Postado por zenweb | 01 de setembro de 2022
O balanceamento de carga é comum no mundo da computação. Surgiu devido aos usuários que desejam conteúdo rapidamente. Isso significava que os sites de alto tráfego que recebem milhões de solicitações de usuários precisavam…
106 CurtiuComentários Off em Como funciona o balanceamento de carga
Postado por zenweb | 30 de agosto de 2022
A saúde é altamente vulnerável a ameaças de segurança, assim como qualquer outro setor. Hoje em dia, os ataques cibernéticos na área da saúde são muito comuns, levando a muitos riscos, especificamente riscos de segurança a serem…
120 CurtiuComentários Off sobre a importância das estruturas de segurança cibernética na área da saúde
Postado por zenweb | 02 de agosto de 2022
7 razões pelas quais o ZEVENET é o melhor software de balanceamento de carga em 2022 A solução de balanceamento de carga não é mais o que costumava ser no passado. À medida que a tecnologia melhora, as ameaças também…
145 CurtiuComentários Off em 7 razões ZEVENET é o melhor software de balanceamento de carga em 2022