PCI – Padrão de Segurança da Dados e o Processo Corporativo de Segurança da Informação

Conheça os 12 requisitos

O Padrão de Segurança de Dados da Industria de Cartões de Pagamento (PCI DSS) define controles específicos para a segurança da informação relacionada ao negócio de cartões de pagamento. Surge uma dúvida: este padrão substitui os controles da Norma ISO/IEC 27002? Não! Muito pelo contrário: eles se complementam. Esta dupla faz um harmonioso conjunto de diretrizes, macro controles, controles e regras detalhadas que permitem que a organização proteja adequadamente as informações do seu negócio.

O Processo Corporativo de Segurança da Informação, baseado na Norma ISO/IEC 27002 deve ser implementado independente da organização ser obrigada a atender os requisitos do PCI DSS. Porém, para aquelas organizações que precisam seguir o PCI DSS, a estrutura do Processo Corporativo de Segurança da Informação disponibilizará uma arquitetura que facilitará a harmonia e a coordenação das ações necessárias para a segurança dos dados de cartão de pagamentos. Todos os requisitos do PCI DSS estão relacionados à Dimensões de Segurança da Informação, sendo considerados nos controles ou macro controles.

Sendo assim, consideramos que uma organização que possui o seu Processo Corporativo de Segurança da Informação terá maior facilidade na execução e na gestão para: planejar, definir, gerar políticas e normas, implementar requisitos, comunicar e treinar os profissionais, alinhar com o Corpo Diretivo (Governança), gerenciar os riscos e manter os controles requeridos pelo PCI DSS. Quando indico que uma organização possui o seu processo Corporativo de Segurança da Informação não quer dizer que esta organização atende de maneira satisfatória todos os controles de segurança. Significa que a organização segue uma arquitetura e todas as suas ações serão consideradas de uma maneira estruturada, integrada e com abordagem holística corporativa.

Considerando a Norma NBR ISO/IEC 27002:2013 temos as seguintes Dimensões para o Processo Corporativo de Segurança da Informação.

Em relação aos Requisitos PCI DSS, existe um relacionamento com as Dimensões do Processo Corporativo de Segurança da Informação (Norma ISO/IEC 27002). Descrevemos abaixo este relacionamento.

Requisito 1: Instalar, manter uma configuração de firewall para proteger dados do cartão.
Dimensão Proteção Técnica;
Dimensão Políticas e Normas.

Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança.
Dimensão Políticas e Normas;
Dimensão Acesso Informação;
Dimensão Proteção Técnica;
Dimensão Classificação da Informação.

Requisito 3: Proteger os dados armazenados do titular do cartão.
Dimensão Políticas e Normas;
Dimensão Acesso Informação;
Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudança);
Dimensão Continuidade – Copias de Segurança;
Dimensão Proteção Técnica;
Dimensão Classificação da Informação.

Requisito 4: Criptografar a transmissão de dados do titular do cartão em redes abertas e públicas.
Dimensão Proteção Técnica;
Dimensão Políticas e Normas;
Dimensão Classificação Informação.

Requisito 5: Proteja todos os sistemas contra softwares prejudiciais e atualize regularmente programas ou software de antivírus.
Dimensão Políticas e Normas;
Dimensão Proteção Técnica.

Requisito 6: Desenvolver e manter sistemas e aplicativos seguros.
Dimensão Políticas e Normas;
Dimensão Desenvolvimento de Aplicativos;
Dimensão Acesso Informação;
Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças);
Dimensão Classificação da Informação;
Dimensão Proteção Técnica.

Requisito 7: Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio.
Dimensão Políticas e Normas;
Dimensão Acesso Informação.

Requisito 8: Identifique e autentique o acesso aos componentes do sistema.
Dimensão Políticas e Normas;
Dimensão Acesso Informação;
Dimensão Treinamento e conscientização usuários;
Dimensão Classificação Informação.

Requisito 9: Restringir o acesso físico aos dados do titular do cartão.
Dimensão Ambiente Físico;
Dimensão Políticas e Normas;
Dimensão Classificação da Informação;
Dimensão Continuidade – Cópias de Segurança;
Dimensão Treinamento e conscientização de usuários.

Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos de rede aos dados do titular do cartão.
Dimensão Políticas e Normas;
Dimensão Acesso Informação;
Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças);
Dimensão Proteção Técnica;
Dimensão Continuidade – Cópias de Segurança.

Requisito 11: Testar regularmente os sistemas e processos de segurança.
Dimensão Políticas e Normas;
Dimensão Gestão de Riscos;
Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças);
Dimensão Proteção Técnica.

Requisito 12: Mantenha uma política que aborde a segurança da informação para todas as equipes.
Dimensão Políticas e Normas;
Dimensão Gestão de Riscos;
Dimensão Acesso Informação;
Dimensão Modelo Operativo – Responsabilidades Segurança Informação;
Dimensão Flexibilidade Operacional (incidentes, Problemas, Mudanças);
Dimensão Treinamento e conscientização de usuários.

Conclusão
Utilizar o Processo Corporativo de Segurança da Informação garante que a organização possui uma arquitetura de controles que possibilita a implementação estruturada dos Requisitos PCI DSS. Esta arquitetura possibilita identificar o grau de maturidade no atendimento aos controles exigidos e também facilita apresentar para o Corpo Diretivo uma visão de gestão dos controles de segurança que a organização precisa estar em conformidade.

Garantir que a organização atende aos requisitos de segurança da informação exigidos para o alcance dos objetivos corporativos é uma responsabilidade do Gestor de Segurança. Entendemos que quanto mais estruturada for esta abordagem mais chances de sucesso a organização terá para proteger os seus recursos.