DEV Community

Cover image for Guia super Resumido do PCI-DSS
Humberto "bt0" Júnior
Humberto "bt0" Júnior

Posted on

Guia super Resumido do PCI-DSS

O que é o PCI-DSS?

O PCI-DSS (Payment Card Industry Data Security Standard) é um conjunto de requisitos de segurança desenvolvido para proteger os dados de cartões de pagamento. Criado pelo PCI Security Standards Council, ele define padrões mínimos para garantir a segurança dos dados de titulares de cartões, abrangendo processos, tecnologia e práticas operacionais em todo o ecossistema de pagamentos.

Quem precisa certificar PCI-DSS?

Todas as entidades que armazenam, processam ou transmitem dados de titulares de cartões, incluindo comerciantes, processadores de pagamentos, adquirentes, emissores e prestadores de serviços, devem cumprir o PCI-DSS. Isso inclui desde pequenas empresas até grandes corporações envolvidas em transações com cartões.

Quais são os requisitos básicos para estar em conformidade com o PCI-DSS?

Construir e manter uma rede segura

Instalar e manter controles de segurança de rede (firewall): Assegura que as redes que processam ou armazenam dados de titulares de cartões sejam protegidas contra acessos não autorizados.

Exemplo prático: Uma empresa precisa configurar firewalls para bloquear o tráfego não autorizado e definir regras específicas para o que pode entrar ou sair da rede. Isso pode incluir criar zonas de segurança separadas para áreas mais sensíveis da rede, como os servidores que armazenam dados de cartão de crédito. A empresa deve monitorar regularmente essas configurações e atualizá-las conforme necessário.

Configurações de segurança para todos os componentes do sistema

Descrição: Implementar padrões de configuração segura para servidores, roteadores, firewalls e outros componentes críticos, eliminando padrões de fábrica inseguros (como senhas padrão).

Exemplo prático: Configurar todos os servidores de forma a remover ou desativar contas e senhas padrão que vêm de fábrica. Por exemplo, desativar a conta "admin" em roteadores e criar novas credenciais com autenticação multifator.

Proteger os dados de cartões armazenados

Descrição: Proteger adequadamente as informações de pagamento armazenadas, utilizando criptografia, mascaramento ou truncamento dos dados, de acordo com a necessidade.

Exemplo prático: Uma loja online pode optar por criptografar todos os números de cartão de crédito em seu banco de dados, assegurando que apenas partes autorizadas da empresa possam descriptografar esses dados para processar transações. Além disso, para proteger ainda mais, o número de cartão pode ser exibido truncado nas interfaces de atendimento ao cliente.

Criptografia dos dados do titular do cartão durante a transmissão por redes públicas

Descrição: Sempre que os dados forem transmitidos por redes abertas, como a internet, a empresa deve garantir que esses dados estejam devidamente criptografados.

Exemplo prático: Um gateway de pagamento deve utilizar TLS (Transport Layer Security) para garantir que todas as transações online sejam criptografadas enquanto os dados do cartão de crédito são transmitidos do cliente para o servidor da empresa.

Proteger sistemas e redes contra malwares

Descrição: Implementar soluções antimalware e garantir que elas estejam atualizadas para proteger sistemas contra vírus, trojans e outros tipos de software malicioso.

Exemplo prático: Uma empresa de e-commerce pode instalar software antivírus em todos os seus servidores e garantir que ele seja atualizado diariamente. Além disso, a empresa deve executar varreduras frequentes e automatizadas em seus sistemas para detectar e remover ameaças potenciais.

Desenvolver e manter sistemas e aplicativos seguros

Descrição: Utilizar práticas seguras de desenvolvimento de software, corrigindo vulnerabilidades conhecidas rapidamente e assegurando que novos sistemas sejam desenvolvidos de forma segura.

Exemplo prático: Durante o desenvolvimento de um aplicativo de pagamento, a equipe deve realizar testes de segurança (como análise de código estática) para identificar vulnerabilidades e corrigi-las antes do lançamento. Patches de segurança também devem ser aplicados prontamente quando novas vulnerabilidades forem descobertas.

Restringir o acesso aos dados por "necessidade de saber"

Descrição: A empresa deve garantir que apenas funcionários com um propósito claro e legítimo tenham acesso aos dados sensíveis dos titulares de cartão.

Exemplo prático: Em uma empresa que processa pagamentos, apenas os funcionários da equipe de TI diretamente responsáveis pela segurança dos servidores de dados terão acesso às informações de pagamento. O acesso de outros departamentos será restrito e controlado.

Identificar e autenticar o acesso ao sistema

Descrição: Todos os usuários que acessam o sistema devem ter uma identidade única e ser autenticados de maneira adequada, seja por meio de senhas fortes ou autenticação multifatorial.

Exemplo prático: Cada funcionário que acessa os sistemas que armazenam dados de cartão de crédito deve ter um nome de usuário exclusivo e usar autenticação multifator (como senha e um token gerado por aplicativo) para aumentar a segurança.

Restringir o acesso físico aos dados de cartão

Descrição: Limitar o acesso físico a locais onde dados do cartão de crédito estão armazenados, como data centers ou escritórios com arquivos confidenciais.

Exemplo prático: Um data center de uma empresa de pagamentos deve ter medidas físicas de segurança como portas trancadas, vigilância por câmeras, e acesso controlado por crachás para garantir que apenas funcionários autorizados possam acessar os servidores que contêm dados de pagamento.

Monitorar e registrar o acesso aos sistemas

Descrição: Assegurar que todos os acessos a dados de cartão de crédito e sistemas críticos sejam registrados e monitorados para detectar atividades suspeitas.

Exemplo prático: A empresa deve manter logs detalhados de todas as tentativas de acesso aos servidores que armazenam informações de pagamento, incluindo quem acessou e em que momento. Esses logs devem ser revisados regularmente para garantir que nenhum acesso não autorizado tenha ocorrido.

Testar regularmente os sistemas e processos de segurança

Descrição: Realizar testes regulares de segurança, como testes de penetração e varreduras de vulnerabilidades, para garantir que os sistemas estejam adequadamente protegidos.

Exemplo prático: A equipe de TI deve agendar varreduras de vulnerabilidades trimestrais para identificar falhas nos sistemas de segurança. Além disso, um teste de penetração anual deve ser feito por uma equipe externa para simular ataques reais e verificar a eficácia dos controles de segurança.

Manter uma política de segurança da informação

Descrição: Implementar e manter uma política de segurança da informação que seja disseminada e seguida por todos os funcionários da empresa.

Exemplo prático: A empresa deve criar e manter uma política de segurança que defina claramente as responsabilidades de todos os funcionários em relação à proteção de dados sensíveis. Todos os novos funcionários devem passar por um treinamento sobre essas políticas, e revisões periódicas devem ser feitas para garantir a conformidade.

Como o PCI-DSS protege as empresas?

O PCI-DSS ajuda a proteger as empresas contra fraudes e violações de dados, minimizando os riscos de roubo de informações sensíveis de cartões de pagamento. Cumprir esses requisitos melhora a postura de segurança da empresa, reduzindo a exposição a ataques e garantindo a confiança dos clientes.

Como o PCI-DSS protege as informações das pessoas?

O PCI-DSS impõe requisitos rigorosos para proteger os dados de pagamento dos clientes, como o uso de criptografia, restrições de acesso e monitoramento contínuo. Esses controles ajudam a garantir que as informações pessoais dos titulares de cartão sejam protegidas contra acesso não autorizado e violações de dados.

Há dois tipos principais de entidades que podem auditar e fornecer consultoria para uma empresa que busca conformidade:

Assessores de Segurança Qualificados (QSAs)

Quem são: São empresas ou indivíduos aprovados pelo PCI Security Standards Council (PCI SSC) para conduzir auditorias formais de conformidade com o PCI-DSS.

O que fazem: Os QSAs realizam avaliações e auditorias formais para verificar se uma empresa está cumprindo com todos os requisitos do PCI-DSS. Eles emitem o Relatório de Conformidade (ROC) e Atestados de Conformidade (AOC), que são necessários para as empresas que precisam demonstrar conformidade para bandeiras de cartões ou adquirentes.
Exemplo: Uma grande empresa de e-commerce contrataria um QSA para realizar uma auditoria anual de conformidade com o PCI-DSS.

Fornecedores de Consultoria para PCI-DSS

Quem são: São empresas ou consultores especializados em segurança de dados e conformidade, mas que não são necessariamente QSAs. Eles podem ajudar as empresas a se preparar para as auditorias de conformidade, oferecendo recomendações e implementando melhorias nos processos e na infraestrutura de TI.

O que fazem: Esses consultores ajudam a empresa a entender os requisitos do PCI-DSS, identificam gaps de conformidade, propõem soluções e oferecem assistência na implementação das políticas e tecnologias necessárias para atingir a conformidade.

Exemplo: Uma empresa de consultoria em cibersegurança pode ser contratada por um comerciante para revisar suas políticas de segurança de TI e auxiliar na implementação de firewalls, criptografia, e outros controles exigidos pelo PCI-DSS.

Link para Download do documento oficial
https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0_1-PT.pdf?lang=pt

Top comments (0)