Procurando soluções em PCI-DSS ( Payment card industry) ?

 

 

 

 

 

 


PCI-DSS ( Payment card industry)


O que é a PCI ?

A PCI é a norma criada pelas operadoras de cartões de crédito Visa e Mastarcard com o objetivo de reduzir o risco operacional envolvendo transações com cartões de crédito.

As empresa que não estejam aderente com a PCI-DSS correm o risco de multas ou até mesmo de ficar de fora ou serem expulsas dos programas de cartões de crédito.

Olhando de uma forma macro, a norma exige que se mantenha uma rede segura, a proteção dos dados do cartão de crédito, um programa de gerenciamento de vulnerabilidade, um forte controle de acesso, monitoração e testes da rede, em como manter uma política de segurança.

Estas exigencias acabam obrigando as corporações a implementarem uma serie de controles, principalmente em sua rede, que possam garantir que os requisitos da norma estejam cumpridas. Estes controles devem garantir um apropriado controle de acesso físico e lógico, segurança das ferramentas de banco de dados e aplicações, de todos ativos de informação que diretamente ou indiretamenta possam comprometer a confidencialidade dos dados de cartões de crédito, e por ultimo manter uma politica de segurança garanta que a empresa está em conformidade com o padrão exigido.

Para entender um pouco melhor, seguem as diretrizes:

  1. Instalar e manter um firewall para proteger os dados.
  2. Não utilizar sena padrão e parametros de segurança pré-configurados pelos fornecedores de softwares.Proteger os dados do cartão de crédito
  3. Proteger dados armazenados
  4. Criptografar informações confidenciais e de cartões de crédito em transações on-line e transmissões de dados através de redes publicas.
  5. Usar regularmente um software de antivírus.
  6. Desenvolver e manter sistemas e aplicações seguras. Implementar metricas rígidas de controle de acesso.
  7. Restringir acesso de dados por departamento que realmente necessitem deste acesso.
  8. Fornecer usuário unico para cada pessoa com acesso a computadores.
  9. Restringir acesso físico aos dados de pagamentos de cartões de crédito. Monitorar e testar as redes regularmente.
  10. Rastrear e monitorar todos os acessos aos recursos de rede e dados de cartões de crédito.
  11. Testar regularmente processos e sistemas de segurança da informação Seguir a politica de segurança da informação.
  12. Manter politica que defina segurança de uso das informações.


Olhando do ponto de vista Macro, as diretrizes da PCI são simples, porém, se nos aprofundarmos um pouco mais, vamos concluir que para satisfazer as simples diretrizes, teremos antes que estar em conformidades com normas mas complexas de se cumprirem.

Como exemplo vamos pegar o Item 6. Como vamos garantir realmente que uma aplicação é segura, se mesmo existindo um processo de desenvolvimento seguro, este ainda é sucetivel a falhas ? E quanto a software legados, teremos tempo habil para revisar e reeescrever os codigos ? O item 6.5 por exemplo exige que o código seja protegido de ataques de code injection, crosssite scripting, Bufferoverflows e ataques de negação de serviço.

Então, a estratégia correta no planejamento e executar a seleção de proteção com medidas ou ferramentas que sejam rápidas e práticas de serem instaladas, bem como prove sem dificuldaded para um auditor a conformidade com a exigencia Nós da Action Systems, trabalhamos com profissionais e ferramentas especialmente desenvolvidas para simplificar o trabalho de deixar sua empresa aderente a norma, facilitando assim o processo de entrar em conformidade com a PCI-DSS perante uma auditoria de certificação.

Entre em contato conosco, e um de nossos consultores entrará em contato sem compromisso para mairores informações.

Saiba mais sobre as nossas soluções em
PCI-DSS ( Payment card industry)

ATENDIMENTO ONLINE