x

Publicidade

PCI – Padrão de Segurança da Dados e o Processo Corporativo de Segurança da Informação

Por

em Edison Fontes

31 ago 2017 5 meses atrás

O Padrão de Segurança de Dados da Industria de Cartões de Pagamento (PCI DSS) define controles específicos para a segurança da informação relacionada ao negócio de cartões de pagamento. Surge uma dúvida: este padrão substitui os controles da Norma ISO/IEC 27002? Não! Muito pelo contrário: eles se complementam. Esta dupla faz um harmonioso conjunto de diretrizes, macro controles, controles e regras detalhadas que permitem que a organização proteja adequadamente as informações do seu negócio.

O Processo Corporativo de Segurança da Informação, baseado na Norma ISO/IEC 27002 deve ser implementado independente da organização ser obrigada a atender os requisitos do PCI DSS. Porém, para aquelas organizações que precisam seguir o PCI DSS, a estrutura do Processo Corporativo de Segurança da Informação disponibilizará uma arquitetura que facilitará a harmonia e a coordenação das ações necessárias para a segurança dos dados de cartão de pagamentos. Todos os requisitos do PCI DSS estão relacionados à Dimensões de Segurança da Informação, sendo considerados nos controles ou macro controles.

Sendo assim, consideramos que uma organização que possui o seu Processo Corporativo de Segurança da Informação terá maior facilidade na execução e na gestão para: planejar, definir, gerar políticas e normas, implementar requisitos, comunicar e treinar os profissionais, alinhar com o Corpo Diretivo (Governança), gerenciar os riscos e manter os controles requeridos pelo PCI DSS. Quando indico que uma organização possui o seu processo Corporativo de Segurança da Informação não quer dizer que esta organização atende de maneira satisfatória todos os controles de segurança. Significa que a organização segue uma arquitetura e todas as suas ações serão consideradas de uma maneira estruturada, integrada e com abordagem holística corporativa.

Considerando a Norma NBR ISO/IEC 27002:2013 temos as seguintes Dimensões para o Processo Corporativo de Segurança da Informação.

 

Em relação aos Requisitos PCI DSS, existe um relacionamento com as Dimensões do Processo Corporativo de Segurança da Informação (Norma ISO/IEC 27002). Descrevemos abaixo este relacionamento.

Requisito 1: Instalar, manter uma configuração de firewall para proteger dados do cartão.

Dimensão Proteção Técnica

Dimensão Políticas e Normas

 

Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança

Dimensão Políticas e Normas

Dimensão Acesso Informação

Dimensão Proteção Técnica

Dimensão Classificação da Informação

 

Requisito 3: Proteger os dados armazenados do titular do cartão

Dimensão Políticas e Normas.

Dimensão Acesso Informação

Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudança)

Dimensão Continuidade – Copias de Segurança.

Dimensão Proteção Técnica.

Dimensão Classificação da Informação.

 

Requisito 4: Criptografar a transmissão de dados do titular do cartão em redes abertas e públicas

Dimensão Proteção Técnica.

Dimensão Políticas e Normas.

Dimensão Classificação Informação

 

Requisito 5: Proteja todos os sistemas contra softwares prejudiciais e atualize regularmente programas ou software de antivírus.

Dimensão Políticas e Normas.

Dimensão Proteção Técnica

 

Requisito 6: Desenvolver e manter sistemas e aplicativos seguros

Dimensão Políticas e Normas.

Dimensão Desenvolvimento de Aplicativos

Dimensão Acesso Informação

Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)

Dimensão Classificação da Informação

Dimensão Proteção Técnica.

 

Requisito 7: restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio.

Dimensão Políticas e Normas.

Dimensão Acesso Informação.

 

Requisito 8: Identifique e autentique o acesso aos componentes do sistema.

Dimensão Políticas e Normas

Dimensão Acesso Informação

Dimensão Treinamento e conscientização usuários

Dimensão Classificação Informação

 

Requisito 9: Restringir o acesso físico aos dados do titular do cartão

Dimensão Ambiente Físico.

Dimensão Políticas e Normas.

Dimensão Classificação da Informação.

Dimensão Continuidade – Cópias de Segurança

Dimensão Treinamento e conscientização de usuários.

 

Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos de rede aos dados do titular do cartão.

Dimensão Políticas e Normas.

Dimensão Acesso Informação

Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)

Dimensão Proteção Técnica

Dimensão Continuidade – Cópias de Segurança

 

Requisito 11: Testar regularmente os sistemas e processos de segurança.

Dimensão Políticas e Normas.

Dimensão Gestão de Riscos.

Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)

Dimensão Proteção Técnica.

 

Requisito 12: Mantenha uma política que aborde a segurança da informação para todas as equipes.

Dimensão Políticas e Normas.

Dimensão Gestão de Riscos

Dimensão Acesso Informação

Dimensão Modelo Operativo – Responsabilidades Segurança Informação

Dimensão Flexibilidade Operacional (incidentes, Problemas, Mudanças).

Dimensão Treinamento e conscientização de usuários.

 

Conclusão

Utilizar o Processo Corporativo de Segurança da Informação garante que a organização possui uma arquitetura de controles que possibilita a implementação estruturada dos Requisitos PCI DSS. Esta arquitetura possibilita identificar o grau de maturidade no atendimento aos controles exigidos e também facilita apresentar para o Corpo Diretivo uma visão de gestão dos controles de segurança que a organização precisa estar em conformidade.

Garantir que a organização atende aos requisitos de segurança da informação exigidos para o alcance dos objetivos corporativos é uma responsabilidade do Gestor de Segurança. Entendemos que quanto mais estruturada for esta abordagem mais chances de sucesso a organização terá para proteger os seus recursos.

Grande abraço.

 Edison Fontes, CISM, CISA, CRISC

Coordenador do Comitê de Segurança da Informação da ABSEG.

Estrategista, Consultor e Gestor: Segurança da Informação, Riscos, Continuidade e Combate à Fraude, Compliance.

edison@pobox.com

www.nucleoconsult.com.br

 

Receba grátis as principais notícias do setor de TI

Notícias por push

Ativar