Nosso blog

Aceita cartão? 3 dicas para proteger os dados dos seus clientes

Saiba o que recomenda Tini Schuurmans, Principal Security Consultant, BT, para que sua empresa esteja em conformidade com o padrão PCI DSS, protegendo as informações do cartão de crédito de seus clientes.

Proteção complexa.

Proteger os dados dos titulares de cartões é um fator importante na relação de confiança que você mantém com seu cliente. O padrão PCI DSS (Payment Card Industry Data Security Standard – Padrão de Segurança da Indústria de Cartões de Pagamento) estabelece regras para a efetiva salvaguarda das informações de seus clientes. Caso não cumpra as exigências desse padrão, você estará sujeito a multas ou medidas restritivas a seus negócios.

O processo de compliance com o PCI DSS é complexo, mas seguindo algumas dicas básicas, as coisas se tonarão mais simples para você.

Como auditor (CISA e PCI DSS QSA), eu tenho três princípios:

  1. Os controles devem ser documentados.
  2. Os controles devem ser implementados corretamente.
  3. Os controles devem ser eficazes.

Somente quando esses três princípios são observados é que considero os controles adequados.

O controle está documentado?

Se um controle não está documentado, ele não existe. Eu ouço muitas vezes que a documentação não é necessária porque as pessoas sabem o que fazer – e vêm há anos fazendo corretamente.

Isso é verdade quando se trata de funcionários antigos, mas e os novos? Eles serão treinados pelos que já estão há mais tempo na empresa, mas sempre falta um detalhe, sempre pode haver descuido. E, ao longo do tempo, o controle já não é feito exatamente como se deveria.

A falta de documentação também é um problema no caso dos inventários de TI. Uma vez visitei o data center de um cliente para auditoria, e, em um canto, havia um rack com equipamentos velhos, incluindo um modem muito antigo. A pessoa que me atendia não soube responder para que serviam. Então, verificamos o inventário – que também não listava aqueles equipamentos.

Pareciam simplesmente esquecidos, mas ainda estavam conectados à rede e a uma linha telefônica. Aparentemente, não havia um responsável por esses equipamentos, e, assim, eles não eram atualizados com patches e controles de segurança, tornando-se um enorme risco para o cliente.

Conclusão: se não for documentada, a segurança está comprometida. E também a compliance.

Seus controles são corretamente implementados?

Parece um paradoxo, mas eu vi muitos exemplos de controles de segurança que haviam sido implementados – mas não funcionavam. Isso porque embora houvesse um servidor interno de log e o antivírus estivesse instalado corretamente, recebendo atualizações diárias, o daemon não havia sido configurado para iniciar no boot – então, depois da primeira reinicialização, o antivírus não rodava.

Mais uma vez, a documentação é fundamental. É vital certificar-se de que todas as etapas necessárias a um procedimento de segurança estejam documentadas – e de que a instalação siga fielmente cada uma dessas etapas.

Seus controles são eficazes?

Se um controle não funciona para o que foi criado, ele não corresponde às regras de compliance. Para começar, é preciso verificar os arquivos de log. Você enxerga as entradas de log dos controles de segurança? Os registros de log mostram o que você esperava?

Outra maneira de checar o controle é tentar fazer o que ele não deveria permitir. Por exemplo, as normas PCI DSS exigem que você altere todas as contas-padrão nos sistemas. Assim, para ver se está em conformidade, você pode:

  • Tentar iniciar uma sessão com ID / senha predefinidas. O acesso está bloqueado?
  • Tentar iniciar uma sessão com ID correta, mas com a senha errada. O acesso é negado e registrado? Você encontra o registro de log?
  • Se o seu controle determina que o acesso a seu site se dará apenas por TLS, tente usar o domínio HTTP://. Você consegue entrar no site ou o tráfego é redirecionado para o domínio HTTPS://?

O Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC – Payment Card Industry Security Standards Council) criou o PCI DSS (Payment Card Industry Data Security Standard – Padrão de Segurança da Indústria de Cartões de Pagamento) com estes três princípios em mente. Respeitados esses princípios, os padrões podem ser implementados em organizações, mesmo que não lidem com cartões de crédito.

O PCI DSS estabelece regras detalhadas, tanto em termos de controles quanto de procedimentos para testes de auditoria. Portanto, se você substituir todas as referências a “dados de cartão de crédito” por “dados pessoais”, por exemplo, você contará com um bom padrão para proteger Informações Pessoais Identificáveis (PII – Personally Identifiable Information).

Seguir essas recomendações é um bom começo para manter a compliance – mas não é tudo.

Saiba mais sobre gerenciamento de risco visitando nossa página e fazendo o download do nosso data sheet.

Os quatro passos para você se proteger do WannaCry