Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
voltar ao glossário

PCI DSS

PCI DSS significa Payment Card Industry Data Security Standard (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) e é um conjunto de normas de segurança da informação para qualquer organização que processe e aceite cartões de crédito das principais bandeiras — American Express, Discover Financial Services, JCB International, MasterCard e Visa. O PCI DSS existe desde 2006 e as organizações abrangidas são atualmente obrigadas a cumprir o PCI DSS 3.2.1. Empresas e corporações que cumprem os padrões de segurança de dados PCI conquistam mais a confiança de seus clientes, transmitindo a segurança de que informações confidenciais estão sendo mantidas em proteção. O não cumprimento dessas normas pode resultar em violações de segurança e, consequentemente, em graves perdas de receita e fidelização de clientes.

Uma nova versão, o PCI DSS 4.0, está atualmente na fase de RFC (solicitação de comentários) e espera-se que seja concluída em meados de 2021. De acordo com o PCI Council, o PCI DSS 3.2.1 permanecerá ativo por 18 meses após o lançamento de todos os materiais do PCI DSS 4.

O padrão PCI é imposto pelas redes de cartões e empresas que utilizam transações com cartões, mas administrado pelo Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC). O Conselho de Normas de Segurança garante que todas as informações e políticas de conformidade estejam atualizadas e forneçam as informações mais precisas e úteis para as empresas.

Quem precisa estar em conformidade com o PCI DSS?

O objetivo do Padrão de Segurança de Dados PCI (PCI DSS) é proteger os dados do titular do cartão (CHD) e os dados confidenciais de autenticação (SAD) onde quer que sejam processados, armazenados ou transmitidos. Manter a segurança do pagamento é necessário para todas as organizações que armazenam, processam ou transmitem dados do titular do cartão.

Os padrões de segurança do PCI incluem requisitos técnicos e operacionais para:

  • Organizações que aceitam ou processam transações de pagamento
  • Desenvolvedores de software e fabricantes de aplicativos e dispositivos usados nessas transações

O PCI 3.2.1, lançado em maio de 2018, é a versão atual que as organizações cobertas devem seguir.

A validação da conformidade é realizada anualmente ou trimestralmente, por meio de um método adequado à designação de nível de comerciante da organização, que é uma função do volume anual de transações realizadas com cartão de crédito.

Resumo dos níveis do PCI Merchant e dos requisitos de auditoria e emissão de relatórios

A tabela abaixo oferece uma visão geral dos níveis de comerciante do PCI, das arquiteturas de pagamento comuns normalmente usadas em cada nível e dos requisitos correspondentes de auditoria e geração de relatórios do PCI. Observação: existem algumas diferenças sutis nos benchmarks de nível comercial entre as empresas de cartão de crédito, portanto, é recomendável que os leitores consultem seus parceiros consultivos do PCI e da QSA para obter uma avaliação precisa dos requisitos que se aplicam à sua organização. 

Nível de comerciante Volume de transações com cartão de crédito por ano Arquitetura de pagamento comum Requisitos de auditoria e emissão de relatórios do PCI
NÍVEL 1 Mais de 6 milhões de transações totais em todas as regiões globais
  • Comércio eletrônico
  • Cartão não presente
  • Cartão de presente
  • Relatório anual sobre conformidade (ROC) por meio de um avaliador de segurança qualificado (QSA)
  • Varreduras trimestrais de rede por um fornecedor de digitalização aprovado (ASV)
  • Formulário de Atestado de Conformidade
NÍVEL 2

1 milhão a 6 milhões em todas as regiões globais

  • Comércio eletrônico
  • Cartão não presente
  • Cartão de presente
  • Questionário anual de autoavaliação (SAQ) (auditoria interna)
  • Análise trimestral da rede por um ASV
  • Formulário de Atestado de Conformidade
NÍVEL 3 20.000 a 1 milhão em regiões globais
  • Somente comércio eletrônico
  • SAQ anual
  • Análise trimestral da rede por um ASV
  • Formulário de Atestado de Conformidade
NÍVEL 4

Menos de 20.000

OU

1 milhão em todos os canais, MAS

Menos de 20.000 transações com cartão

  • Somente comércio eletrônico

 

  • Cartão presente
  • Comércio eletrônico
  • SAQ anual
  • Análise trimestral da rede por um ASV
  • Formulário de Atestado de Conformidade

12 Requisitos para PCI DSS

O PCI DSS 3.2.1 inclui 6 objetivos, 12 requisitos, 78 requisitos básicos e mais de 400 procedimentos de teste. A tabela abaixo resume os objetivos do PCI DSS e os requisitos relacionados. Para obter detalhes sobre os sub-requisitos e os testes, os leitores devem consultar o guia de referência do PCI DSS.

OBJETIVOS PCI DSS Requisitos
CRIAR E MANTER UMA REDE E SISTEMAS SEGUROS

1. Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão

2. Não use padrões fornecidos pelo fornecedor para senhas de sistema e outros parâmetros de segurança

PROTEGER OS DADOS DO TITULAR DO CARTÃO

3. Proteja os dados armazenados do titular do cartão

4. Transmissão criptografada de dados do titular do cartão em redes públicas abertas

MANTER UM PROGRAMA DE GERENCIAMENTO DE VULNERABILIDADES

5. Proteja todos os sistemas contra malware e atualize regularmente programas ou softwares antivírus

6. Desenvolva e mantenha sistemas e aplicativos seguros

IMPLEMENTAR MEDIDAS FORTES DE CONTROLE DE ACESSO

7. Restrinja o acesso aos dados do titular do cartão de acordo com a necessidade da empresa

8. Identifique e autentique o acesso aos componentes do sistema

9. Restrinja o acesso físico aos dados do titular do cartão

MONITORE E TESTE REDES REGULARMENTE

10. Rastreie e monitore todo o acesso aos recursos da rede e aos dados do titular do cartão

11. Teste regularmente sistemas e processos de segurança

MANTER UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 12. Mantenha uma política que aborde a segurança da informação para todo o pessoal

Riscos potenciais devido à não conformidade com o PCI

O PCI DSS existe há mais de 12 anos, mas muitas organizações continuam a enfrentar constatações adversas críticas durante as auditorias. Algumas organizações continuam relatando que sofreram violações de dados mesmo após terem passado recentemente por uma auditoria PCI. A principal conclusão aqui é que a conformidade não significa necessariamente que os dados e os aplicativos estejam seguros. A conformidade deve ser vista como o ponto de partida; e as organizações também devem se concentrar em identificar e mitigar vetores de ameaça que não sejam necessariamente cobertos por seus mandatos de conformidade.

Estes são os desafios mais comuns de conformidade com o PCI :

  1. É necessário gerenciar o escopo e controlar o custo das auditorias PCI. O PCI Security Council publicou um guia para definição de escopo e segmentação de rede. O documento oferece uma estrutura para ajudar as organizações abrangidas a identificar os componentes do CDE (ambiente de dados do titular do cartão), os sistemas conectados ao PCI e que impactam a segurança do PCI, bem como os componentes fora do escopo. Infelizmente, a execução da estrutura de definição de escopo e segmentação é um desafio para muitas organizações devido à natureza cada vez mais dinâmica e complexa dos ambientes de data center e das arquiteturas de pagamento. A utilização de dados estáticos e pontuais, bem como de mapas de fluxo de rede, para preencher e manter o inventário de componentes PCI, combinada com práticas inconsistentes de gerenciamento de mudanças de TI e de firewall, leva a erros de escopo e segmentação, que, por sua vez, resultam em falhas na avaliação PCI e custos de auditoria mais elevados.
  2. Incapacidade de manter continuamente a conformidade com os padrões de segurança PCI e a postura de segmentação. Os padrões de segurança PCI exigem que as organizações mantenham continuamente sua postura de segmentação PCI e garantam a conformidade contínua com os requisitos PCI e os requisitos básicos. Arquiteturas de data center e de pagamento dinâmicas e complexas, combinadas com desalinhamentos entre os processos de segurança e as operações de TI, levam a lacunas de segurança e controle. Como resultado das práticas de TI, os componentes PCI frequentemente acabam se misturando com componentes não-PCI na mesma zona, VLAN ou sub-rede, e sem controles adicionais para restringir o tráfego ao CDE. Em alguns casos, a desconexão entre os processos de gerenciamento de mudanças de TI, provisionamento de recursos e gerenciamento de mudanças de firewall resulta em um inventário incorreto dos sistemas conectados ao PCI que estão dentro do escopo e em regras de firewall mal configuradas. Processos inadequados de gerenciamento de vulnerabilidades e de aplicação de patches também impedem que uma organização mantenha continuamente sua postura de segurança PCI . O Relatório de Segurança de Pagamentos da Verizon oferece uma análise detalhada das tendências de segurança de pagamentos e dos desafios críticos de segurança que as organizações continuam a enfrentar. A Verizon publica este relatório anualmente desde 2010. No relatório de 2020, os autores concluem que os seguintes requisitos do PCI apresentam as piores lacunas de controle:
  3. Requação 11. Teste sistemas e processos de segurança
  4. Requação 5. Proteja-se contra software malicioso
  5. Requisição 10. Rastreie e monitore o acesso
  6. Requação 12. Gerenciamento de segurança
  7. Requisição 8. Autenticar o acesso
  8. Requisição 1. Instalar e manter uma configuração de firewall
  9. Ter redes planas. Surpreendentemente, muitas organizações hoje em dia continuam a ter redes planas porque elas são simples de arquitetar e fáceis de operar e manter. No entanto, uma rede plana significa que tudo no ambiente (incluindo componentes não conectados ao PCI e não CDE) está dentro do escopo do PCI, resultando em maiores custos de auditoria do PCI. Uma rede plana também significa que, se um malfeitor conseguir comprometer com êxito um único host, ele poderá facilmente atravessar a rede e acessar os aplicativos de pagamento e o banco de dados do titular do cartão.
  10. Necessidade de garantir a transição para o modelo operacional de trabalho remoto. À medida que as organizações fazem a transição para um modelo operacional de trabalho totalmente remoto, elas precisam avaliar como essas mudanças afetam o escopo de seu ambiente PCI e quais controles adicionais precisam implementar para controlar o tráfego legítimo para o CDE. Os exemplos incluem garantir o acesso remoto legítimo de administradores autorizados a aplicativos de pagamento a partir de laptops de funcionários, garantir o atendimento remoto ao cliente e o faturamento e proteger as conexões autorizadas no local, sem contato, entre quiosques sem contato voltados para a Internet e os aplicativos do data center.

Quais são os desafios comuns de implementação do Padrão de Segurança de Dados PCI?

A visibilidade em tempo real das cargas de trabalho, usuários, dispositivos e suas conexões e fluxos é importante para:

  • Garantir que o escopo do ambiente PCI esteja atualizado e preciso, o que, por sua vez, significa que as regras de segmentação e firewall sejam aplicadas corretamente.
  • Fornecendo informações valiosas para as verificações internas obrigatórias de vulnerabilidades trimestrais e usando essas informações para mapear as possíveis vias de ataque lateral associadas às vulnerabilidades.
  • Monitorar continuamente o ambiente PCI em busca de mudanças nas cargas de trabalho, dispositivos, usuários, conexões e tentativas fracassadas de conexão, que podem ser indicadores de um possível ataque.
  • Identificar mudanças na superfície de ataque e nos vetores de ameaças que não são necessariamente cobertos pelos requisitos de conformidade com o PCI.

A importância da visibilidade em tempo real na conformidade efetiva com o PCI DSS

  • A visibilidade em tempo real ajuda a garantir a precisão do escopo do PCI, monitorando continuamente todas as conexões dos sistemas CDE, conectados ao PCI e que afetam a segurança do PCI, todos eles no escopo do PCI. Uma organização pode então aplicar a microssegmentação baseada em host para aplicar as regras de firewall aplicáveis para restringir o tráfego de entrada e saída do ambiente PCI somente àqueles que são “permitidos” ou “legítimos”. (Requisito 1)
  • A manutenção contínua da segmentação eficaz e precisa do ambiente PCI ajuda a controlar os custos de auditoria do PCI.
  • A eliminação de regras de firewall desconfiguradas e desatualizadas reduz a exposição de uma organização coberta a uma possível violação de dados.
  • Aproveite a integração com ferramentas de automação de TI (como Chef, Puppet e Ansible, Terraform) para garantir que as políticas de segmentação sejam provisionadas ao mesmo tempo que o provisionamento de recursos de carga de trabalho e a liberação para o ambiente de produção.
  • A visibilidade em tempo real ajuda a organização a avaliar as mudanças no escopo do PCI à medida que a organização faz a transição para o trabalho remoto. Isso ajuda a organização a identificar lacunas críticas de controle e possíveis vetores de ataque. As organizações podem então aplicar a microssegmentação baseada em host para restringir as conexões ponto a ponto dos dispositivos domésticos aos laptops do usuário remoto e controlar as conexões do usuário com os aplicativos do data center.
  • Controle as conexões entre cargas de trabalho PCI autorizadas, usuários e dispositivos que estão espalhados por várias VLANs, zonas e sub-redes e acompanhe as mudanças nas operações de TI, sem rearquitetar o ambiente de rede.
  • Em ambientes inovadores e nativos da nuvem, as organizações podem aproveitar a integração com plataformas de orquestração de contêineres para provisionar “políticas de segmentação” no nascimento de uma carga de trabalho.
  • Além de atender diretamente aos requisitos de conformidade com o PCI, uma organização pode aplicar a microsegmentação para reduzir sua superfície de ataque, obstruir o movimento lateral e conter a rápida propagação de ransomware.

Usando a microssegmentação baseada em host para enfrentar seus desafios de conformidade com PCI e cibersegurança

  • A visibilidade em tempo real ajuda a garantir a precisão do escopo do PCI, monitorando continuamente todas as conexões do CDE, dos sistemas conectados ao PCI e dos sistemas que impactam a segurança do PCI, todos os quais estão dentro do escopo do PCI. Uma organização pode então aplicar a microsegmentação baseada em host para impor as regras de firewall aplicáveis, restringindo o tráfego de entrada e saída para o ambiente PCI apenas àqueles que são "permitidos" ou "legítimos". (Requisito 1)
  • A manutenção contínua da segmentação eficaz e precisa do ambiente PCI ajuda a controlar os custos de auditoria do PCI.
  • A eliminação de regras de firewall desconfiguradas e desatualizadas reduz a exposição de uma organização coberta a uma possível violação de dados.
  • Aproveite a integração com ferramentas de automação de TI (como Chef, Puppet e Ansible, Terraform) para garantir que as políticas de segmentação sejam provisionadas ao mesmo tempo que o provisionamento de recursos de carga de trabalho e a liberação para o ambiente de produção.
  • A visibilidade em tempo real ajuda a organização a avaliar as mudanças no escopo do PCI à medida que a organização faz a transição para o trabalho remoto. Isso ajuda a organização a identificar lacunas críticas de controle e possíveis vetores de ataque. As organizações podem então aplicar a microssegmentação baseada em host para restringir as conexões ponto a ponto dos dispositivos domésticos aos laptops do usuário remoto e controlar as conexões do usuário com os aplicativos do data center.
  • Controle as conexões entre cargas de trabalho PCI autorizadas, usuários e dispositivos que estão espalhados por várias VLANs, zonas e sub-redes e acompanhe as mudanças nas operações de TI, sem rearquitetar o ambiente de rede.
  • Em ambientes inovadores e nativos da nuvem, as organizações podem aproveitar a integração com plataformas de orquestração de contêineres para provisionar “políticas de segmentação” no nascimento de uma carga de trabalho.
  • Além de atender diretamente aos requisitos de conformidade com o PCI, uma organização pode aplicar a microsegmentação para reduzir sua superfície de ataque, obstruir o movimento lateral e conter a rápida propagação de ransomware.

Saiba mais

Comece agora a implementar etapas para se tornar compatível com o PCI e proteger seus clientes e sua empresa.

Saiba mais sobre como a microssegmentação pode ajudar a reduzir o escopo do PCI DSS e alcançar a conformidade com nosso white paper, " Três etapas para segmentar eficazmente sua conformidade com o PCI. "

voltar ao glossário

PCI DSS

postagens no blog

IL L U M IO P R O D U T O S

Como a Detecção e Resposta na Nuvem com o Illumio Insights ajuda você a manter a conformidade

Descubra como a detecção e resposta na nuvem com o Illumio Insights ajuda a atender aos requisitos de conformidade com GDPR, HIPAA, PCI DSS e DORA, proporcionando maior visibilidade e resposta mais rápida.
leia agora
Integrações do Partners &

Vá além da auditoria: alcance a conformidade contínua com Illumio + ServiceNow.

Descubra como a microsegmentação baseada em risco com Illumio e ServiceNow fortalece a resiliência cibernética e permite a conformidade contínua em tempo real.
leia agora
Resiliência cibernética

Duas violações, um banco: lições da crise cibernética do ICBC

Descubra as principais lições da crise cibernética do ICBC, em que duas grandes violações — ransomware nos EUA e roubo de dados em Londres — revelaram vulnerabilidades sistêmicas no setor bancário global.
leia agora

PCI DSS

resumos

Brief

Illumio + Netskope para conformidade com DORA

Atenda aos principais requisitos do DORA com o plug-in Illumio para Threat Exchange, parte do Netskope Cloud Exchange.

leia agora
Brief

Le gouvernement met en œuvre Zero Trust pour un avenir plus sûr

Webinaire du panel d'experts de FedInsider sur Zero Trust

leia agora
Brief

Conformidade com as leis de proteção de dados dos Estados do Golfo

A segmentação Zero Trust da Illumio ajuda as organizações a proteger dados confidenciais e a cumprir as novas regras de proteção de dados nos estados do Golfo.

leia agora

PCI DSS

demos

Nenhum item encontrado.

PCI DSS

guias

Guide

Estratégias para conformidade com DORA: o papel fundamental da microssegmentação

O prazo final do setor financeiro da UE é janeiro de 2025. Sua organização está preparada?

leia agora
Guide

Mapeando o Illumio para a arquitetura Zero Trust do NIST SP 800-207

Veja como os componentes do Illumio Core e do Illumio Edge são mapeados para os principais componentes lógicos da Arquitetura Zero Trust do NIST.

leia agora
Guide

TCO da segmentação PCI: firewalls de hardware versus Illumio Core

Obtenha uma comparação do custo total de propriedade entre os firewalls de hardware e o Illumio Core para oferecer suporte à segmentação PCI.

leia agora

PCI DSS

infográficos

Nenhum item encontrado.

PCI DSS

notícias

Nenhum item encontrado.

PCI DSS

webinars

webinar

Construindo resiliência no caminho para a conformidade.

Manter-se em conformidade é mais desafiador do que nunca. A evolução das normas técnicas, a aplicação rigorosa das regras e novas diretrizes como a DORA estão no centro das atenções. De GDPR e HIPAA a PCI DSS, a pressão está aumentando. O sucesso começa com a compreensão dos riscos em todo o seu ambiente, como conexões instáveis e vulnerabilidades ocultas, e com as soluções para corrigi-los.

saiba mais

PCI DSS

videos

Vídeo

Conformidade PCI com Illumio

Com o Illumio Core, você pode definir o escopo do seu ambiente PCI e implementar a segmentação rapidamente, reduzindo a carga de auditoria e deixando os QSAs satisfeitos.

leia agora

PCI DSS

postagens no blog

Nenhum item encontrado.

PCI DSS

resumos

Nenhum item encontrado.

PCI DSS

guias

Nenhum item encontrado.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais