Não estamos falando de barramento, slot ou placa PCI (Peripheral Component Interconnect). O PCI que no interessa em GRC é o Payment Card Industry Security Standards Council, organização aberta para discutir, definir e disseminar padrões de segurança para os dados de portadores de cartões de pagamento, com objetivo de minimizar fraudes. Esse fórum foi fundado em 2004 pelos principais players mundiais do setor, entre eles American Express, MasterCard Worldwide e Visa Inc.
A principal contribuição do fórum é o DSS – Data Security Standards, documento contendo os procedimentos de anáise de segurança e a definição de 12 macro-requisitos para segurança de dados dos usuários de cartões de pagamento. O DSS define padrões para todas as organizações que processam, armazenam ou transmitem informações. A versão atual do PCI DSS (v1.2) nasceu em 2008 e ganhará uma nova versão até o final deste ano.
A principal contribuição do fórum é o DSS – Data Security Standards, documento contendo os procedimentos de anáise de segurança e a definição de 12 macro-requisitos para segurança de dados dos usuários de cartões de pagamento. O DSS define padrões para todas as organizações que processam, armazenam ou transmitem informações. A versão atual do PCI DSS (v1.2) nasceu em 2008 e ganhará uma nova versão até o final deste ano.
Requisitos de Boas Práticas de Segurança do PCI DSS
Construa e mantenha uma rede segura
Requisito 1: Instalar e manter um configuração de firewall para proteger os dados do portador do cartão
Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança
Proteger os dados do portador do cartão
Requisito 3: Proteger os dados armazenados do portador do cartão
Requisito 4: Criptografar a transmissão dos dados do portador do cartão em redes abertas e públicas
Manter um programa de gerenciamento de vulnerabilidades
Requisito 5: Usar e atualizar regularmente o software ou programas antivírus
Requisito 6: Desenvolver e manter sistemas e aplicativos seguros
Implementar medidas de controle de acesso rigorosas
Requisito 7: Restringir o acesso aos dados do portador do cartão de acordo com a necessidade de divulgação dos negócios
Requisito 8: Atribuir um ID exclusivo para cada pessoa que tenha acesso a um computador
Requisito 9: Restringir o acesso físico aos dados do portador do cartão
Monitorar e Testar as Redes Regularmente
Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do portador do cartão
Requisito 11: Testar regularmente os sistemas e processos de segurança
Manter uma Política de Segurança de Informações
Requisito 12: Manter uma política que aborde a segurança das informações para funcionários e prestadores de serviços
Além do DSS, o PCI define alguns requisitos de segurança para PIN Transaction (PTS/PED), focado nas características e gerenciamento dos dispositivos e demais atividades de processamento, e Payment Application (PA-DSS), focado no desenvolvimento e integração de software que manipulam as informações.
Para maiores detalhes, acompanhe o blog ou acesse PCI Quick Reference Guide.
Aproveitamos o post para publicar a apresentação do GU-GRC sobre PCI-DSS, realizada em novembro de 2009 na PUCRS. Acesse aqui.
Para maiores detalhes, acompanhe o blog ou acesse PCI Quick Reference Guide.
Aproveitamos o post para publicar a apresentação do GU-GRC sobre PCI-DSS, realizada em novembro de 2009 na PUCRS. Acesse aqui.
Nenhum comentário:
Postar um comentário