Novo padrão da indústria de cartões não altera o maior desafio de segurança

0
40

Recentemente, foi publicada a versão 3.2 do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (Payment Card Industry Data Security Standard – PCI/DSS). Este padrão foi desenvolvido há cerca de 10 anos para incentivar e aprimorar a segurança dos dados do portador do cartão e promover a ampla adoção de medidas de segurança de dados consistentes no mundo todo. O PCI/DSS oferece a base de requisitos técnicos e operacionais elaborados para proteger os dados do detentor do cartão. Se aplica a todas as entidades envolvidas nos processos de pagamento – inclusive comerciantes, processadores, adquirentes, emissores e prestadores de serviço, bem como todas as entidades que armazenam, processam ou transmitem os dados do portador do cartão (Card Holder Data – CHD) e/ou dados de autenticação confidenciais.

O que se percebe é que a versão 3.2 marca uma nova fase no padrão, na medida em que inclui mudanças marginais de requerimentos – ou "refinamento", como alguns analistas classificam. Isso denota um estágio de maturidade, obtido ao longo dos últimos anos. A tendência daqui pra frente é de melhorias incrementais apenas para responder a mudanças no cenário de ameaças de ciber segurança, assegurando atualização vis-à-vis a evolução da sofisticação das ameaças.

Particularmente na versão 3.2, entre os novos requerimentos destacam-se itens como maior documentação, novas considerações sobre criptografia e testes de segurança, bem como autenticação mais forte (multifatorial) em acessos administrativos realizados dentro do ambiente de dados do portador. São controles a ser exigidos a partir de fevereiro de 2018.

No entanto, o desafio mais importante para obter e manter a certificação PCI/DSS não foi alterado: reduzir ao mínimo necessário o escopo de dados sensíveis, para adotar os controles no menor ambiente possível.

Afinal, os requisitos de segurança do PCI/DSS se aplicam a todos os componentes do sistema que estejam incluídos ou conectados no ambiente dos dados do detentor do cartão. Esse ambiente compreende pessoas, processos e tecnologias que armazenam, processam ou transmitem as informações do portador do cartão ou dados de autenticação confidenciais. Os "componentes do sistema" incluem dispositivos de rede, servidores, dispositivos de computação e aplicativos. Ou seja, aplicar todos os controles e assegurar seu funcionamento ano após ano é uma tarefa complexa. Um esforço um pouco maior nesta primeira etapa reduzirá muito o custo, tempo e risco nas fases subsequentes.

Portanto, a primeira etapa de uma avaliação do PCI/DSS é determinar precisamente o escopo da revisão. Ao menos anualmente e antes da avaliação anual, a empresa deve confirmar a precisão de seu escopo do PCI/DSS ao identificar todos os locais e fluxos de dados do portador do cartão e assegurar que estejam incluídos no escopo do PCI/DSS.

A atividade de mapeamento e documentação dos dados do proprietário do cartão no ambiente assegura que nenhum dado do cartão exista fora desse ambiente. Este mapeamento deve considerar os fluxos de dados do portador do cartão, incluindo locais físicos, processos, pessoas, aplicações e infraestrutura tecnológica. Os resultados dessa fase do trabalho são diagramas dos fluxos de dados e de processos, bem como inventário dos elementos tecnológicos que os suportam. A empresa retém a documentação que mostra como o escopo do PCI/DSS foi determinado. Ela é ainda retida para a revisão da assessoria e/ou para referência durante a próxima atividade anual de confirmação do escopo do PCI/DSS.

Uma vez identificado o ambiente onde circulam os dados sensíveis, é necessário segmentá-lo do restante da rede. Muitas vezes esta é uma atividade desafiadora dado o caráter distribuído no qual muitas empresas lidam com dados de cartões. Veja um varejista, por exemplo, com milhares de Pontos de Venda e centenas de lojas! A segmentação da rede pode ser realizada por meio de firewalls internos da rede, roteadores com listas de controle de acesso rigorosas – mas isso poderá tornar o projeto inviável.

Uma tecnologia que desponta como solução alternativa é a da microssegmentação. Ela permite uma implantação incremental e sem alterações na infraestrutura subjacente, definindo por software os segmentos de rede necessários para isolar o ambiente de dados do portador do cartão. Usa criptografia que atende aos requisitos do PCI/DSS para proteger os dados trafegados e assegurar seu isolamento. Além disso, segrega e protege igualmente os dados, seja no ambiente de rede LAN ou WAN.

É normal e esperado que novas versões do PCI/DSS sejam publicadas nos próximos anos, ainda que conforme comentado se espera que sejam com requerimentos incrementais e sem mudanças significativas. De toda forma, o principal ponto para a obtenção da certificação segue sem mudança – assegurar que o ambiente dos dados sensíveis seja mapeado e segmentado dos demais ambientes corporativos. A microssegmentação é uma tecnologia que pode garantir menores custos e maior rapidez na obtenção dos resultados, mesmo em ambientes complexos e distribuídos.

Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.

Deixe seu comentário