Conformidade com o PCI DSS: 12 requisitos (v4.0)

O que é PCI DSS?

O PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) é um framework desenvolvido pelo PCI SSC (Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento) para ajudar a proteger todos os dados da conta do cartão de pagamento.

Lançado em 7 de setembro de 2006, o PCI DSS define controles básicos de segurança técnica, física e operacional necessários para proteger os dados da conta do cartão de pagamento.

Os padrões aplicam-se a qualquer organização que armazena, processa ou transmite CHD (cardholder data, dados do titular do cartão), incluindo comerciantes, processadores de pagamento, emissores, compradores, provedores de serviços ou qualquer outra entidade dentro do ecossistema de cartões de pagamento.

Além de proteger os dados em si, os requisitos de segurança do PCI DSS também se aplicam a todos os componentes do sistema incluídos ou conectados ao CDE (cardholder data environment, ambiente de dados do titular do cartão). Isso inclui pessoas, processos e tecnologias que armazenam, processam ou transmitem dados do titular do cartão ou dados de autenticação confidenciais.

O que são dados de cartão de pagamento?

O PCI DSS define duas categorias de dados de contas de pagamento:

1. CHD (cardholder data, dados do titular do cartão), que incluem o PAN (primary account number, número da conta principal), o nome do titular do cartão, a data de validade e o código de serviço; e
2. SAD (sensitive authentication data, dados de autenticação sensíveis), que incluem dados completos de rastreamento (dados de tarja magnética ou equivalente em um chip), código de segurança do cartão (CAV2/CVC2/CVV2/CID) e PINs/blocos de PIN.

A conformidade com o PCI é obrigatória por lei?

Não. O PCI DSS não é revisado ou aplicado por nenhuma agência governamental, nem pelo PCI SSC. Em vez disso, a conformidade é determinada por marcas de pagamento e compradores individuais com base nos termos do contrato ou acordo assinado pelo comerciante ou provedor de serviços com a rede de cartões.

Entretanto, embora a conformidade com o PCI DSS não seja uma questão jurídica, o não cumprimento do PCI DSS pode resultar em multas significativas, bem como em restrições ao uso de plataformas de pagamento no futuro.

Os 12 requisitos de conformidade com o PCI

O PCI DSS define 12 requisitos projetados para atender a seis objetivos:

Fonte: PCI Security Standards Council

Requisito 1: instalar e manter controles de segurança de rede

Os NSCs (network security controls, controles de segurança de rede) são pontos de aplicação de políticas que controlam o tráfego entre duas ou mais sub-redes com base em regras predeterminadas. Exemplos de controles de segurança de rede incluem firewalls e VPNs. Requisitos específicos incluem garantir que todos os serviços, protocolos e portas com permissão de entrada tenham sido identificados, aprovados e definidos corretamente.

Requisito 2: aplicar configurações seguras a todos os componentes do sistema

Aplique configurações seguras aos componentes do sistema para reduzir as maneiras de um invasor comprometer o sistema. Como atores maliciosos costumam usar senhas padrão que podem estar disponíveis ao público, é essencial alterá-las o mais rápido possível. Além disso, remova softwares, funções ou contas desnecessárias da rede e desative serviços irrelevantes para reduzir significativamente as superfícies de ataque.

Requisito 3: proteger os dados da conta armazenados

No caso indesejado de um ataque à rede, existem vários métodos para proteger dados críticos da conta contra invasores que pretendam acessá-los. Alguns desses métodos incluem:

• Criptografia de dados
• Técnicas de ofuscação de dados
• Mascaramento de dados
• Hash de dados

Requisito 4: proteger os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas

Para preservar a integridade e a confidencialidade dos dados, é essencial usar medidas de criptografia fortes. Por exemplo, redes de área pessoal precisam de criptografia durante transmissões em que atores maliciosos podem acessá-las facilmente, como transmissões em redes públicas. Esses atores maliciosos tendem a explorar as vulnerabilidades da rede para obter acesso privilegiado e escalar a partir daí.

Requisito 5: proteger todos os sistemas e redes contra software malicioso

O PCI DSS exige que as empresas implementem software antivírus de um provedor de cibersegurança confiável em todos os sistemas comumente afetados por software malicioso. Isso se aplica a todos os endpoints — mesmo aqueles que não podem ser usados para processar ou armazenar dados do titular do cartão, já que os ataques de malware podem se originar e se espalhar a partir de qualquer dispositivo.

As organizações também devem garantir, por meio de varreduras regulares, que o software antivírus esteja ativo, atualizado e totalmente operacional.

Requisito 6: desenvolver e manter sistemas e aplicações seguros

Este requisito destina-se a definir e implementar as políticas e os processos subjacentes que permitem à organização identificar e avaliar rapidamente o risco de vulnerabilidades de segurança no ambiente de dados. Também determina ações que devem ser tomadas para remediar esses riscos. Um componente central deste requisito é limitar possíveis vulnerabilidades, implementando correções e atualizações críticas em todos os sistemas, aplicações e endpoints.

De acordo com este requisito, a organização também deve incorporar requisitos de segurança em todas as fases do processo de desenvolvimento.

Requisito 7: restringir o acesso aos componentes do sistema e aos dados do titular do cartão pela “necessidade de saber” empresarial

O gerenciamento de acesso é um dos componentes mais importantes para garantir que sua rede fique protegida contra acesso não autorizado que pode ter efeitos prejudiciais à sua empresa e à integridade dos dados. A base do gerenciamento de acesso envolve a criação de regras que fornecem a usuários específicos acesso a aplicações ou dados específicos e somente para propósitos específicos. Para isso, garanta que todos usuários tenham a quantidade certa de acesso privilegiado a dados e aplicações. Adote o POLP (princípio do privilégio mínimo), que afirma que você deve fornecer a um usuário apenas o nível mínimo de acesso privilegiado necessário para ele executar tarefas.

Requisito 8: identificar usuários e autenticar o acesso a componentes do sistema

Os dois princípios fundamentais desse requisito incluem estabelecer a identidade do usuário de um processo em um sistema de computador e verificar se o usuário está de fato associado à identidade que ele está reivindicando.

Usar IDs exclusivos (ou impedir o compartilhamento de contas entre vários usuários) não apenas limita a exposição, mas ajuda a organização a rastrear a cadeia de eventos quando ocorre um ataque. Isso facilita responder e conter um comprometimento de dados e determinar sua origem e progressão.

Este requisito também estabelece que a MFA (autenticação multifatorial) é necessária para qualquer usuário acessar os ambientes de dados do titular do cartão.

Requisito 9: restringir o acesso físico aos dados do titular do cartão

Este requisito foca na segurança física dos dados do titular do cartão. De acordo com esse padrão, todas as cópias impressas do CHD (como arquivos em papel ou discos rígidos) devem ser mantidas em um local físico seguro. O acesso deve ser concedido apenas às pessoas que detêm os privilégios necessários, e um log de acesso deve ser mantido.

Medidas de segurança adicionais relacionadas a este requisito incluem:

• Instalação de câmeras de vídeo e/ou controles eletrônicos de acesso no local físico.
• Retenção de logs de acesso e gravações por pelo menos 90 dias.
• Desenvolvimento de protocolos de acesso que permitam à organização autenticar usuários autorizados.
• Aplicação de medidas de segurança adicionais a todos os ativos portáteis que contenham CHD.

Requisito 10: registrar e monitorar todo o acesso aos componentes do sistema e CHD

Um dos exemplos mais comuns de não conformidade com o PCI DSS está relacionado à falha em manter registros adequados e documentação de suporte de quando os dados confidenciais foram acessados e quem os acessou.

De acordo com este requisito, qualquer ação referente a CHD ou PANs deve ser registrada usando uma ferramenta de rastreamento com marca de data e hora de um fornecedor de software confiável. Em seguida, esses logs devem ser enviados para um servidor centralizado, onde serão revisados diariamente em busca de comportamento anômalo ou atividade suspeita.

A implementação do SIEM (security information and event management, gerenciamento e correlação de eventos de segurança) — um conjunto de ferramentas e serviços que ajudam as organizações a gerenciar logs de dados e a analisar esses dados para reconhecer possíveis ameaças à segurança e vulnerabilidades antes que ocorra um ataque — pode ajudar as organizações a gerenciar este requisito específico do PCI DSS.

Requisito 11: testar sistemas e redes de segurança regularmente

Este requisito destina-se a testar aplicações do software, medidas de segurança ou outras ferramentas descritas nos 10 requisitos anteriores para garantir a conformidade geral.

Os requisitos específicos incluem, entre outros:

• Realizar varreduras trimestrais de todos os pontos de acesso sem fio.
• Realizar varreduras de vulnerabilidades trimestralmente.
• Executar testes anuais de aplicação e penetração de rede em todos os IPs e domínios externos.
• Realizar monitoramento regular de tráfego da web e arquivos.

Requisito 12: dar suporte à segurança da informação com políticas e programas organizacionais

O requisito final do PCI DSS destina-se à criação de uma política abrangente de segurança da informação para funcionários ou outras partes interessadas. Este padrão documenta explicitamente todas as regras relacionadas à segurança, incluindo aquelas relacionadas a uso de tecnologia e a fluxos, armazenamento e uso de dados, responsabilidade pessoal etc.

Esta política deve ser revisada anualmente e ser distribuída a todas as partes relevantes, que, por sua vez, devem revisá-la e confirmar o seu recebimento.

Outras medidas incluídas no requisito 12 dizem respeito às avaliações de riscos, ao treinamento de conscientização dos usuários e aos planos de resposta a incidentes.

CrowdStrike e conformidade com o PCI

A conformidade com o PCI pode ser uma tarefa complexa e demorada para empresas que não têm experiência em segurança de dados. Por essa razão, muitas vezes é útil que as organizações contratem um parceiro de cibersegurança respeitável para ajudá-las a tomar medidas para cumprir esses requisitos e automatizar grande parte da atividade relacionada.

Outro benefício da parceria com um provedor de soluções de cibersegurança para cumprir os principais requisitos do PCI é que eles podem ajudar os clientes a maximizar quaisquer investimentos em segurança para que a empresa não apenas fique em conformidade com o PCI DSS, mas também aproveite as ferramentas, tecnologias e serviços adquiridos para proteger a organização de forma mais ampla.

Desde 2016, a plataforma CrowdStrike Falcon® foi validada de forma independente para ajudar organizações e empresas a cumprir os requisitos do PCI DSS. Essa validação foi fornecida em um relatório da Coalfire, uma importante avaliadora de PCI global e outros padrões de conformidade nos setores financeiro, governamental, industrial e de saúde.

A Coalfire determinou que a plataforma Falcon é eficaz e fornece suporte substancial para os requisitos do PCI DSS. As capacidades da plataforma em detecção e resposta a ameaças — bem como aquelas associadas ao registro de atividades — fazem dela uma opção sólida para atender aos requisitos de proteção e monitoramento do sistema para PCI DSS.