PCI DSS significa padrão de segurança de dados da indústria de cartões de pagamento. Esta é uma norma de segurança em vigor, que delineia algumas das medidas que as empresas são obrigadas a tomar para proteger os dados.
Isto inclui muitos níveis de segurança, desde a utilização de uma VPN como NordVPN até à instalação de uma firewall. Também é necessário documentar tudo de forma eficaz. Se não o fizer, poderá ver-se confrontado com grandes multas caso ocorra uma violação de dados.
Abaixo, passo a abordar alguns dos principais requisitos. Isto ajudá-lo-á a ter uma melhor compreensão do plano de segurança abrangente que precisa de estabelecer e implementar. Esta não é de forma alguma uma lista exaustiva; apenas cobre algumas das áreas principais. Consulte por favor o Guia PCI DSS na íntegra.
Tabela de Conteúdos
Requisitos do PCI DSS – Instalação e Manutenção de uma Configuração de Firewall
O PCI DSS delineia numerosos requisitos que todos os comerciantes devem seguir para garantir a conformidade. O primeiro passo é proteger os dados dos titulares dos cartões, instalando e mantendo uma configuração de firewall. Vamos falar consigo sobre o que isto implica e como o nosso serviço ajuda.
Este requisito é na realidade o mais desafiante tecnicamente de todas as normas PCI DSS. Instalar e manter uma configuração de firewall pode parecer simples na superfície, mas há muita coisa que está envolvida neste requisito, como irá descobrir abaixo.
O que espera a PCI quando se trata de instalar e manter uma configuração de firewall?
A primeira coisa a fazer é estabelecer e instalar normas de configuração de router e firewall, que devem consistir em tudo o que se segue:
- Um procedimento formal para o teste e aprovação de todas as ligações de rede e alterações às configurações de router e firewall.
- Um diagrama que identifica todas as redes, dispositivos de rede, e componentes de sistemas. Este diagrama deve incluir ligações entre o Ambiente de Dados do Titular do Cartão (CDE) e todas as outras redes, com redes sem fios incluídas.
- Também precisa de um diagrama que mostre os fluxos de dados dos titulares dos cartões em todas as suas redes e sistemas.
- Para cada ligação à Internet, deve existir uma firewall. Isto também se aplica entre qualquer zona desmilitarizada (DMZ) e a zona da rede interna.
- Para gerir os componentes da rede, é necessária uma descrição de todos os grupos, papéis e responsabilidades.
- É necessária uma justificação comercial e documentação no que respeita à utilização de todos os serviços, portos e protocolos permitidos, bem como quaisquer medidas de segurança que sejam utilizadas para protocolos inseguros.
- Deve rever todos os conjuntos de regras de router e firewall de seis em seis meses, no mínimo.
Compreender este requisito:
O que se deve reconhecer é que tanto os routers como as firewalls desempenham um papel crucial quando se trata de pontos de entrada e saída da rede. Concederão acesso autorizado à rede e bloquearão o acesso não desejado, e isto destaca a razão pela qual é imperativo ter firewalls e routers implementados. Os pontos a-g são essencialmente orientações da PCI para as medidas que devem ser tomadas a fim de assegurar que esta primeira linha de defesa seja tão forte quanto necessário.
Portanto, vejamos como implementar os pontos a-g:
-
- Processo formal de teste/aprovação – Isto é vital porque ajuda a prevenir problemas de segurança que surgem devido a uma má configuração da rede, firewall, ou router. Deve certificar-se de que apenas os utilizadores autorizados (com uma palavra-passe) estão autorizados a fazer quaisquer alterações e que estas alterações são registadas e retidas.
- Diagrama de identificação de redes, dispositivos de rede e componentes de sistemas – Estes diagramas descrevem a configuração da rede e podem ser utilizados para identificar todas as localizações de dispositivos de rede. Sem ele, os dispositivos podem ser ignorados, o que pode representar um risco grave. Deverá gerar e actualizar automaticamente diagramas de rede.
- Diagrama de fluxo de dados do titular do cartão – Este identifica a localização de todos os dados do titular do cartão dentro da rede. Isto permite-lhe gerir os dados de forma mais eficaz.
- Firewalls para todas as ligações à Internet – Isto reduz as hipóteses de um indivíduo malicioso entrar na sua rede através de uma rede desprotegida porque o acesso é monitorizado e controlado de forma mais eficaz. Assegurar a instalação de uma firewall compatível com PCI para cada ligação à Internet, bem como entre qualquer DMZ e a zona de rede interna.
- Descrição de todos os grupos, papéis e responsabilidades – Isto assegura que todo o pessoal está ciente de quem é responsável por quê. Estas funções podem ser geridas através de um sistema de gestão centralizada.
- Documentação e justificação comercial para todos os serviços, portos e protocolos permitidos – Isto permite-lhe remover ou desactivar todos os outros protocolos, portos, ou serviços.
- Rever semestralmente o conjunto de regras de router e firewall – É necessária uma actualização constante para cumprir continuamente as normas PCI DSS.
Deve também construir configurações de router e firewall que limitem as ligações entre componentes do sistema CDE e redes não confiáveis . Isto implica:
- O tráfego deve ser restringido, tanto de entrada como de saída, de modo a que o Ambiente de Dados do Titular do Cartão contenha apenas o que é necessário. Todo o restante tráfego não relacionado deve ser segregado.
- Os ficheiros de configuração do router devem ser protegidos e sincronizados.
- Controlar o tráfego instalando firewalls perimetrais entre o CDE e todas as redes sem fios. Configurar estas firewalls para permitir o tráfego autorizado apenas entre o CDE e o ambiente sem fios.
Compreender este requisito:
O segundo passo envolve alcançar a configuração correcta da firewall para que funcione correctamente e controle o tráfego de rede de uma forma segura e eficaz. É necessário assegurar que a protecção da rede seja instalada entre a rede interna de confiança e qualquer rede externa não confiável. Se não o fizer, fica vulnerável a um ataque.
-
- Restringir o tráfego de entrada e saída – Isto é necessário para garantir que quaisquer atacantes maliciosos não obtenham acesso à sua rede através da utilização de serviços, portas ou protocolos de forma não autorizada ou através de endereços IP não autorizados. Consegui-lo através da criação de um Ambiente de Dados do Titular do Cartão em que todo o tráfego de entrada e saída é negado, excepto as transacções de pagamento.
- Ficheiros de configuração de router seguros e sincronizados – Os ficheiros de configuração de arranque são frequentemente ignorados devido à sua utilização pouco frequente. Contudo, se não forem actualizados com as mesmas configurações seguras, então um cibercriminoso pode encontrar uma forma de entrar.
- Instalar firewalls perimetrais entre todas as redes sem fios e o CDE – Os indivíduos maliciosos exploram frequentemente a tecnologia sem fios para aceder aos detalhes do cartão. É por isso que são necessárias firewalls para restringir o acesso das redes sem fios ao Ambiente de Dados do Titular do Cartão.
O acesso público directo entre quaisquer componentes do sistema CDE e a Internet deve ser proibido. Para o fazer, é necessário:
- O tráfego de entrada deve ser limitado aos componentes do sistema que fornecem serviços, protocolos e portos publicamente acessíveis autorizados. Implementar uma DMZ para o conseguir.
- Dentro da zona DMZ, o tráfego de entrada na Internet deve ser limitado aos endereços IP.
- As ligações directas entre o CDE e a Internet, sejam elas de entrada ou de saída, devem ser proibidas.
- Deve detectar e bloquear qualquer endereço IP de origem falsificado para que não possam entrar na rede. Implementar medidas anti-spoofing para o conseguir.
- Não deve ser permitido o tráfego não autorizado de saída do CDE para a Internet.
- As ligações “estabelecidas” só devem ser permitidas na rede.
- Quaisquer componentes do sistema que armazenem dados do titular do cartão devem ser segregados da DMZ e de outras redes não confiáveis e, em vez disso, colocados numa zona de rede interna.
- As informações de encaminhamento e endereços IP privados não devem ser divulgados a partes não autorizadas.
Compreender este requisito:
As duas etapas anteriores centraram-se na protecção oferecida pelas firewalls. A firewall protege essencialmente as ligações dos sistemas públicos ao CDE. No entanto, tudo isto será completamente inútil se permitir o acesso directo entre os sistemas públicos e o CDE.
-
- Implementar uma DMZ – Esta gere as ligações entre a Internet e os serviços que as empresas precisam de ter à disposição do público. Isto impedirá os cibercriminosos de utilizar a Internet para acederem à sua rede interna. Limite todo o tráfego para garantir a sua conformidade.
- Limitar o tráfego de entrada aos endereços IP na zona DMZ – Isto assegura que ninguém não autorizado tenha acesso. Proibir ligações directas entre a Internet e o CDE – Isto impede que o acesso não filtrado ocorra entre ambientes fidedignos e não fidedignos. Por conseguinte, digamos que um cibercriminoso obtém informação sensível; não poderá enviá-la da sua rede para um servidor externo não confiável. Pode conseguir isto negando todo o tráfego de entrada e de saída, excepto transacções de pagamento.
- Implementar medidas anti-spoofing – Os atacantes maliciosos tentam frequentemente imitar um endereço IP para que acreditem que vem da vossa própria rede. Devem estar em vigor medidas para impedir isto.
- Proibir o tráfego de saída não autorizado do CDE para a Internet – Deve controlar o tráfego para que só sejam permitidas comunicações autorizadas. Pode fazer isto negando todo o tráfego de entrada e de saída, com excepção das operações de pagamento.
- Só permitir ligações estabelecidas na rede – É necessária uma firewall que efectue uma inspecção de pacotes de estado. Isto implica manter o estado de cada ligação através da firewall para que se saiba se uma resposta é autorizada ou se um cibercriminoso está a tentar enganar a firewall para que possam encontrar uma forma de entrar.
- Componentes do sistema de segregação que armazenam dados de titulares de cartões da DMZ – Há menos camadas para os cibercriminosos penetrarem se a informação dos titulares de cartões for armazenada dentro da DMZ. Isto facilita-lhes o acesso. Os dados do titular do cartão têm de estar dentro de uma rede segregada.
- Informações de encaminhamento e endereços IP privados não devem ser divulgados a partes não autorizadas – Deve assegurar-se que os endereços IP privados são divulgados, caso contrário um hacker pode descobrir qual é o endereço IP e obter acesso à sua rede. Exigir a todos os utilizadores que façam login, assegurando a divulgação autorizada de um administrador em cada local, e deve proibir protocolos de encaminhamento e anúncios.
O software de firewall pessoal deve ser instalado em quaisquer dispositivos e telemóveis que se liguem à Internet quando utilizados para aceder à rede ou fora da rede.
Compreender este requisito:
É necessária uma firewall pessoal para proteger os telemóveis e os dispositivos propriedade dos funcionários de um ataque baseado na Internet. Isto é imperativo, uma vez que estes dispositivos são mais susceptíveis a violações porque estão fora do firewall corporativo, e por isso tornam-se alvos principais para os hackers. Portanto, se os seus empregados utilizam os seus computadores portáteis para fins de trabalho e se ligam quando estão fora da rede, é da sua responsabilidade assegurar-se de que têm instalado software de firewall pessoal.
Os procedimentos operacionais e as políticas de segurança para a gestão de firewalls devem ser documentados e conhecidos por todas as partes afectadas.
Compreender este requisito:
Para garantir que continua a impedir o acesso não autorizado à rede, deve gerir as políticas e procedimentos em vigor no que diz respeito a firewalls e routers, assegurando que estão bem documentados e actualizados.
PCI DSS Requirement – Não utilizar padrões fornecidos pelo fornecedor para senhas de sistema e parâmetros de segurança adicionais
Para alcançar a conformidade com o PCI DSS, a secção dois declara que deve alterar qualquer padrão fornecido pelo fornecedor, sem excepção. Isto é aplicável a todas as senhas padrão, incluindo as utilizadas por terminais de ponto de venda (PdV), contas de aplicação, sistemas operativos, e muito, muito mais.
O que é que a PCI espera quando se trata de evitar todos os incumprimentos fornecidos pelos fornecedores?
Como já foi brevemente aflorado, é necessário assegurar-se de que muda os incumprimentos fornecidos pelo fornecedor, e deve desactivar ou remover quaisquer contas por defeito não requeridas. Não há excepções a esta regra – toda e qualquer palavra-passe e parâmetro de segurança deve ser alterado.
Quando se trata de todos os ambientes sem fios que transmitem informações do titular do cartão ou se ligam ao ambiente de dados do titular do cartão (CDE), é necessário alterar todas as predefinições do fornecedor sem fios na instalação. Isto inclui cadeias de caracteres, palavras-passe e chaves de encriptação sem fios padrão da comunidade SNMP.
Compreender este requisito:
As configurações por defeito são frequentemente publicadas e bem conhecidas nas comunidades hacker. Isto torna o seu sistema mais vulnerável, pois indivíduos maliciosos poderiam facilmente obter acesso através da utilização de palavras-passe predefinidas, nomes de contas, definições, e afins, e, por conseguinte, ao alterar todas as predefinições, restringe efectivamente o acesso.
No que diz respeito a alterar todos os padrões de fornecedores sem fios, isto é vital porque se não o fizer, um cibercriminoso pode facilmente entrar na sua rede e atacá-la. Isto ocorre uma vez que a maioria das redes sem fios são implementadas sem configurações de segurança adequadas, o que dá aos hackers a oportunidade de capturar dados e palavras-passe através da escuta do tráfego.
O requisito seguinte envolve o desenvolvimento de normas de configuração para todos os componentes do seu sistema . Todas as vulnerabilidades de segurança conhecidas devem ser abordadas, e devem ser consistentes com as normas de endurecimento do sistema aceites pela indústria. Para o fazer, deve seguir os passos abaixo indicados:
- Deve haver apenas uma função primária implementada para cada servidor. Isto é imperativo para assegurar que os servidores que necessitam de diferentes níveis de segurança não coexistam no mesmo servidor.
- Apenas os protocolos e serviços necessários para o funcionamento do sistema devem ser activados.
- Para quaisquer protocolos ou serviços necessários que sejam considerados inseguros, é necessário implementar características de segurança adicionais.
- Prevenir o uso indevido através da configuração dos parâmetros de segurança do sistema.
- A funcionalidade desnecessária deve ser removida, incluindo os gostos de servidores web desnecessários, sistemas de ficheiros, subsistemas, características, controladores e scripts.
Compreender este requisito:
A PCI implementou este requisito para combater os muitos pontos fracos conhecidos que vêm com as aplicações empresariais, bases de dados e sistemas operativos. Embora existam vulnerabilidades, existem também formas de as corrigir, e são fornecidas medidas a-e para garantir que o seu negócio trata de quaisquer fraquezas no seu sistema
Portanto, vejamos os cinco pontos aqui mencionados:
- Implementar uma função primária por servidor – Se tiver duas funções de servidor, e estas estiverem localizadas no mesmo servidor mas exigirem níveis de segurança diferentes, uma das funções do servidor será comprometida. Isto porque as necessidades das funções de alta segurança serão reduzidas em resultado da presença das funções de baixa segurança.
- Habilitar apenas os protocolos e serviços necessários – Há muitos protocolos que fornecem aos maliciosos internos uma forma fácil de comprometer uma rede. Assim, a PCI implementou este requisito para assegurar que as empresas só permitam protocolos e serviços que sejam necessários para reduzir o risco de um ataque.
- Implementar características de segurança adicionais para protocolos e serviços inseguros – Se activar sistemas de segurança antes da implementação de novos servidores, pode garantir que não são instalados num ambiente com configurações inseguras. Características de segurança adicionais reduzirão também a possibilidade de uma violação, porque os hackers não conseguirão capitalizar os pontos de compromisso da rede normalmente utilizados.
- Configurar parâmetros de segurança do sistema – Isto é fundamental para evitar o uso indevido, e pode conseguir isto através de uma variedade de métodos, incluindo autorização baseada em funções, regras de firewall baseadas em modelos, e registos de auditoria seguros.
- Remover funcionalidades desnecessárias – Este requisito assegura que os indivíduos maliciosos não têm quaisquer oportunidades adicionais para comprometer o seu sistema.
Deve utilizar criptografia forte para encriptar todos os acessos administrativos não consoles .
Compreender este requisito:
Sem comunicações encriptadas e autenticação segura, um hacker poderia facilmente roubar informações com o objectivo de aceder à rede, tornar-se administrador e, em última análise, roubar dados.
Esta etapa exige que mantenha um inventário dos componentes do sistema . Isto deve incluir todos os componentes que se encontram no âmbito do PCI DSS.
Compreender este requisito:
Se não aderir a este requisito, pode esquecer os componentes do sistema e, portanto, eles podem ser excluídos das suas normas de configuração.
Documentar todos os procedimentos operacionais e políticas de segurança para a gestão de incumprimentos de fornecedores, bem como outros parâmetros de segurança.
Compreender este requisito:
O quinto passo foi concebido para evitar configurações inseguras, assegurando que todo o pessoal siga os procedimentos operacionais diários e as políticas de segurança que estão em vigor.
Os fornecedores de alojamento partilhado devem proteger os dados dos titulares dos cartões de cada entidade e o ambiente de alojamento.
Compreender este requisito:
Se vários clientes estiverem alojados no mesmo servidor através de um fornecedor de alojamento, então um cliente pode comprometer os dados de outro, adicionando scripts e funções inseguras. Este requisito foi concebido para combater esta situação.
Requisitos PCI DSS – A transmissão de dados do titular do cartão deve ser encriptada em todas as redes públicas e abertas
Esta secção dos requisitos do PCI DSS foi concebida para assegurar a existência de fortes controlos de encriptação sempre que são transmitidos dados do titular do cartão. Isto destina-se a impedir os criminosos informáticos de interceptar ou desviar dados quando estes se encontram em trânsito.
Para salvaguardar os dados do titular do cartão enquanto em trânsito em redes públicas abertas, é necessário utilizar protocolos de segurança e criptografia forte . Alguns exemplos comuns de redes públicas abertas incluem comunicações por satélite, tecnologias sem fios e a Internet.
Além disso, para assegurar a implementação de criptografia forte para transmissão e autenticação, é necessário utilizar as melhores práticas da indústria quando as redes sem fios estão ligadas ao ambiente de dados do titular do cartão (CDE) ou transmitindo dados do titular do cartão .
Compreender este requisito:
Este requisito é imperativo porque os dados em transmissão através de redes públicas abertas são vulneráveis à intercepção por indivíduos maliciosos.
A segunda parte do primeiro passo, relativa às redes sem fios, é essencial porque os cibercriminosos muitas vezes escutam as comunicações sem fios através de ferramentas que são gratuitas e amplamente disponíveis. Ao utilizar as melhores práticas da indústria, pode impedir que isto ocorra.
Nunca deve utilizar as tecnologias de mensagens do utilizador final para enviar PANs desprotegidos. Os principais exemplos de tecnologias de envio de mensagens pelo utilizador final incluem as mensagens instantâneas e o correio eletrónico.
Compreender este requisito:
Este requisito foi implementado porque as tecnologias de mensagens do utilizador final podem ser interceptadas com facilidade. Basta ter a certeza de não utilizar estas ferramentas ao enviar PAN.
Documentar todos os procedimentos operacionais e políticas de segurança para encriptar as transmissões de dados dos titulares dos cartões. Assegurar que estes procedimentos e políticas sejam conhecidos por todos os que são afectados por eles.
Compreender este requisito:
Este requisito é imperativo para assegurar a gestão contínua e eficaz da transmissão segura dos dados do titular do cartão.
PCI DSS Requirement – Desenvolver e manter aplicações e sistemas seguros
A conformidade com o PCI DSS é um processo contínuo, e este requisito envolve o desenvolvimento e a manutenção de aplicações e sistemas seguros. O objectivo disto é assegurar-se de que se mantém actualizado com quaisquer vulnerabilidades que possam ter um impacto no seu ambiente e colocar potenciais problemas. Desde controlos de segurança a actualizações, há muitas formas de cumprir as suas obrigações.
A primeira etapa envolvida no cumprimento deste requisito do PCI DSS é estabelecer processos para a identificação de quaisquer vulnerabilidades de segurança. Para tal, deve ser implementado um sistema de classificação de riscos para quaisquer vulnerabilidades recentemente descobertas, que dependerá da sua estratégia de avaliação de riscos e do ambiente.
Compreender este requisito:
Este requisito foi estabelecido porque a sua organização estará aberta a novas vulnerabilidades se não se mantiver actualizada em relação a todos os riscos potenciais. Realizar verificações semanais dos serviços de segurança para assegurar que quaisquer novas vulnerabilidades são detectadas iminentemente.
Instalar patches de segurança fornecidos pelo fornecedor para proteger todo o software e sistemas contra vulnerabilidades conhecidas.
Compreender este requisito:
Uma das maiores ameaças para as empresas é o fluxo contínuo de ataques utilizando explorações que são amplamente publicadas. O segundo passo é, portanto, concebido para assegurar que indivíduos maliciosos não capitalizem sobre estas façanhas para desactivar ou atacar o seu sistema. A utilização das mais recentes correcções de segurança pode combater todas as vulnerabilidades conhecidas.
Todas as aplicações de software externas e internas devem ser desenvolvidas com segurança. Este requisito é dividido em várias etapas –
- Antes de as aplicações serem lançadas aos clientes ou tornarem-se activas, é necessário remover palavras-passe, IDs de utilizador, contas de aplicações personalizadas, contas de aplicações de desenvolvimento, e contas de aplicações de teste.
- Antes do lançamento, rever o código personalizado para identificar quaisquer possíveis vulnerabilidades de codificação.
Compreender este requisito:
Este requisito foi posto em prática porque as vulnerabilidades de segurança podem ser maliciosamente ou inadvertidamente introduzidas se a segurança não for incluída durante as fases de definição de requisitos, concepção, análise e teste do desenvolvimento de software. Vamos dar uma vista de olhos aos passos ‘a’ e ‘b’ em mais detalhe abaixo.
- Remover palavras-passe, IDs de utilizadores, contas de aplicações personalizadas, contas de aplicações de desenvolvimento e contas de aplicações de teste – Estes itens precisam de ser removidos para que a informação relativa ao funcionamento da aplicação não seja divulgada.
- Rever o código personalizado para identificar quaisquer possíveis vulnerabilidades de codificação – Este passo é importante porque os indivíduos maliciosos exploram frequentemente vulnerabilidades de segurança em código personalizado a fim de obter acesso a uma rede e comprometer dados.
Quando são feitas alterações aos componentes do sistema, é necessário seguir os procedimentos e processos de controlo de alterações, que são descritos nos passos abaixo:
- Os controlos de acesso devem ser utilizados para separar os ambientes de teste/desenvolvimento dos ambientes de produção.
- Os deveres devem ser separados entre ambientes de produto e ambientes de teste/desenvolvimento.
- Não se devem utilizar PANs/produtos ao vivo para desenvolvimento ou testes.
- Antes de os sistemas de produção se tornarem activos, deve remover as contas e dados de teste.
- Para modificações de software e a implementação de patches de segurança, é necessário alterar os procedimentos de controlo. Ver abaixo:
- Impacto do documento.
- Documentar a aprovação da alteração pelas partes autorizadas.
- Verificar que a alteração não terá um efeito adverso na segurança do sistema através de testes de funcionalidade.
- Procedimentos de back-out.
Compreender este requisito:
Esta parte da conformidade com a PIC é imperativa porque tudo o que se segue poderia ocorrer se os controlos de alteração não fossem implementados e documentados correctamente – código malicioso poderia ser introduzido, irregularidades de processamento poderiam aparecer, e as características de segurança poderiam ser tornadas inoperacionais, deliberadamente omitidas, ou inadvertidamente omitidas. Vamos dar uma vista de olhos mais detalhada aos passos acima mencionados:
-
- Separar ambientes de teste/desenvolvimento de ambientes de produção – Isto é necessário porque os ambientes de desenvolvimento e teste não são normalmente tão seguros como os ambientes de protecção.
- Separar tarefas entre ambientes de produção e ambientes de teste/desenvolvimento – Esta etapa minimizará o risco porque o acesso ao CDE e ao ambiente de produção será restrito.
- Não utilizar PANs/ dados de produção ao vivo para desenvolvimento ou testes – Isto é crucial porque os PANs ao vivo poderiam dar uma entrada aos cibercriminosos, uma vez que os controlos de segurança não tendem a ser tão rigorosos em ambientes de desenvolvimento ou testes.
- Antes dos sistemas de produção ficarem activos, remover contas e dados de teste – Se não remover dados e contas de teste, pode dar informações sobre a aplicação ou o funcionamento do sistema.
- Para modificações de software e a implementação de patches de segurança, é necessário alterar os procedimentos de controlo – Podem ocorrer problemas de segurança quando os patches de segurança e as modificações de software não são geridos correctamente.