COMUNIDADE
cibersegurança

PCI – Padrão de Segurança da Dados e o Processo Corporativo de Segurança da Informação

Conheça os 12 requisitos

O Padrão de Segurança de Dados da Industria de Cartões de Pagamento (PCI DSS) define controles específicos para a segurança da informação relacionada ao negócio de cartões de pagamento. Surge uma dúvida: este padrão substitui os controles da Norma ISO/IEC 27002? Não! Muito pelo contrário: eles se complementam. Esta dupla faz um harmonioso conjunto de diretrizes, macro controles, controles e regras detalhadas que permitem que a organização proteja adequadamente as informações do seu negócio.

O Processo Corporativo de Segurança da Informação, baseado na Norma ISO/IEC 27002 deve ser implementado independente da organização ser obrigada a atender os requisitos do PCI DSS. Porém, para aquelas organizações que precisam seguir o PCI DSS, a estrutura do Processo Corporativo de Segurança da Informação disponibilizará uma arquitetura que facilitará a harmonia e a coordenação das ações necessárias para a segurança dos dados de cartão de pagamentos. Todos os requisitos do PCI DSS estão relacionados à Dimensões de Segurança da Informação, sendo considerados nos controles ou macro controles.

Sendo assim, consideramos que uma organização que possui o seu Processo Corporativo de Segurança da Informação terá maior facilidade na execução e na gestão para: planejar, definir, gerar políticas e normas, implementar requisitos, comunicar e treinar os profissionais, alinhar com o Corpo Diretivo (Governança), gerenciar os riscos e manter os controles requeridos pelo PCI DSS. Quando indico que uma organização possui o seu processo Corporativo de Segurança da Informação não quer dizer que esta organização atende de maneira satisfatória todos os controles de segurança. Significa que a organização segue uma arquitetura e todas as suas ações serão consideradas de uma maneira estruturada, integrada e com abordagem holística corporativa.

Considerando a Norma NBR ISO/IEC 27002:2013 temos as seguintes Dimensões para o Processo Corporativo de Segurança da Informação.

 

Em relação aos Requisitos PCI DSS, existe um relacionamento com as Dimensões do Processo Corporativo de Segurança da Informação (Norma ISO/IEC 27002). Descrevemos abaixo este relacionamento.

Requisito 1: Instalar, manter uma configuração de firewall para proteger dados do cartão.

Dimensão Proteção Técnica

Dimensão Políticas e Normas

 

Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança

Dimensão Políticas e Normas

Dimensão Acesso Informação

Dimensão Proteção Técnica

Dimensão Classificação da Informação

 

Requisito 3: Proteger os dados armazenados do titular do cartão

Dimensão Políticas e Normas.

Dimensão Acesso Informação

Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudança)

Dimensão Continuidade – Copias de Segurança.

Dimensão Proteção Técnica.

Dimensão Classificação da Informação.

 

Requisito 4: Criptografar a transmissão de dados do titular do cartão em redes abertas e públicas

Dimensão Proteção Técnica.

Dimensão Políticas e Normas.

Dimensão Classificação Informação

 

Requisito 5: Proteja todos os sistemas contra softwares prejudiciais e atualize regularmente programas ou software de antivírus.

Dimensão Políticas e Normas.

Dimensão Proteção Técnica

 

Requisito 6: Desenvolver e manter sistemas e aplicativos seguros

Dimensão Políticas e Normas.

Dimensão Desenvolvimento de Aplicativos

Dimensão Acesso Informação

Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)

Dimensão Classificação da Informação

Dimensão Proteção Técnica.

 

Requisito 7: restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio.

Dimensão Políticas e Normas.

Dimensão Acesso Informação.

 

Requisito 8: Identifique e autentique o acesso aos componentes do sistema.

Dimensão Políticas e Normas

Dimensão Acesso Informação

Dimensão Treinamento e conscientização usuários

Dimensão Classificação Informação

 

Requisito 9: Restringir o acesso físico aos dados do titular do cartão

Dimensão Ambiente Físico.

Dimensão Políticas e Normas.

Dimensão Classificação da Informação.

Dimensão Continuidade – Cópias de Segurança

Dimensão Treinamento e conscientização de usuários.

 

Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos de rede aos dados do titular do cartão.

Dimensão Políticas e Normas.

Dimensão Acesso Informação

Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)

Dimensão Proteção Técnica

Dimensão Continuidade – Cópias de Segurança

 

Requisito 11: Testar regularmente os sistemas e processos de segurança.

Dimensão Políticas e Normas.

Dimensão Gestão de Riscos.

Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)

Dimensão Proteção Técnica.

 

Requisito 12: Mantenha uma política que aborde a segurança da informação para todas as equipes.

Dimensão Políticas e Normas.

Dimensão Gestão de Riscos

Dimensão Acesso Informação

Dimensão Modelo Operativo – Responsabilidades Segurança Informação

Dimensão Flexibilidade Operacional (incidentes, Problemas, Mudanças).

Dimensão Treinamento e conscientização de usuários.

 

Conclusão

Utilizar o Processo Corporativo de Segurança da Informação garante que a organização possui uma arquitetura de controles que possibilita a implementação estruturada dos Requisitos PCI DSS. Esta arquitetura possibilita identificar o grau de maturidade no atendimento aos controles exigidos e também facilita apresentar para o Corpo Diretivo uma visão de gestão dos controles de segurança que a organização precisa estar em conformidade.

Garantir que a organização atende aos requisitos de segurança da informação exigidos para o alcance dos objetivos corporativos é uma responsabilidade do Gestor de Segurança. Entendemos que quanto mais estruturada for esta abordagem mais chances de sucesso a organização terá para proteger os seus recursos.

Grande abraço.

 Edison Fontes, CISM, CISA, CRISC

Coordenador do Comitê de Segurança da Informação da ABSEG.

Estrategista, Consultor e Gestor: Segurança da Informação, Riscos, Continuidade e Combate à Fraude, Compliance.

[email protected]

www.nucleoconsult.com.br

 

Comentários
As opiniões dos artigos/colunistas aqui publicados refletem unicamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da IT Mídia ou quaisquer outros envolvidos nessa publicação.

Notícias Relacionadas

Copyright 2017 IT Mídia. Todos os direitos reservados.
É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da IT Mídia.