PCI DSS é o padrão que define como armazenar, processar e transmitir os dados de cartões de crédito dentro duma organização. O padrão aplica-se em qualquer lugar em que se armazenem, processem ou transmitam os dados de contas. Baixo o padrão, os dados de contas definem-se nas seguintes duas áreas:
1. Dados Do Titular Do Cartão
- Número De Conta Principal (PAN)
- Nome Do Titular Do Cartão
- Data de Expiração
- Código De Serviço
2. Dados De Autenticação Confidenciais
- Dados completos da banda magnética ou seu equivalente em chip
- CAV2/CVC2/CVV2/CID
- PINs/Bloqueios de PIN
O número de conta principal é o elemento chave do padrão. Aqui mostrarei como o número de conta se inter-relaciona com o padrão PCI:
O número de conta principal (PAN) é o fator determinante na aplicabilidade dos requisitos do PCI DSS e do PA-DSS. Os requisitos PCI DSS são aplicáveis se um número de conta principal (PAN) é armazenado, processado ou transmitido. Se um PAN não é armazenado, processado nem transmitido, os padrões PCI DSS e PA-DSS não aplicam.*EnCase eDiscovery é uma ferramenta de auditoria com capacidades forenses que vários tipos de organizações podem usar para validar seu cumprimento de padrões PCI. EnCase eDiscovery pode pesquisar pró ativamente praticamente qualquer fonte de informação organizacional na qual se encontre armazenada, processada ou transmitida documentos, registros ou memória de dados de contas cobertos pelo padrão PCI. Com suas capacidades para criação de reportes internos, os resultados das auditorias podem ser compartilhados de maneira segura com outras pessoas da organização tais como a equipe legal, a equipe de compliance e de auditoria ou com os supervisores. Quando é combinado com EnCase Cybersecurity, qualquer dado fora de conformidade com o padrão PCI pode ser imediatamente remediado ou eliminado de maneira forense após sua identificação.
As organizações que processam dados de contas podem usar EnCase para ajuda-las com
- Avaliação, execução e configuração dum sistema de pago para assegurar a conformidade com os padrões PCI.
- Realização de “auto auditorias” contínuas para medir a conformidade com padrões PCI antes da chegada dum Assessor De Segurança Qualificado (QSA). A organização pode seguir os passos necessários para remediar problemas encontrados durante estas auto auditorias periódicas.
Assessores de Segurança de Pedidos de Pagos Qualificados (PA-QSAs) podem usar EnCase eDiscovery para ajudar auditar organizações de maneira rápida e custo-eficiente sem importar seu tamanho. EnCase pode ajudar aos PA-QSAs da seguinte maneira:
- Realizando avaliações abrangentes de pedidos de pago em concordância com os padrões PCI usando tecnologias e metodologias forenses provadas que podem ser realizadas através da rede desde uma localização central na organização.
- Providenciando reportes e dados para ajudar aos PA-QSAs a formar uma opinião respeito ao nível de conformidade dos pedidos de pago.
- Acrescentando um processo defensível e reutilizável que cumpra as exigências internas de qualidade de um PA-QSA
O valor agregado proporcionado pelo uso do EnCase para os PA-QSAs é que o tempo demandado para fazer uma auditoria é reduzido consideravelmente, e além disso permite o aumento do alcance e da profundidade da auditoria quando for requerido.
Revendedores, Integradores e Vendedores De Software podem usar EnCase eDiscovery como parte do seu processo de teste de software para assegurar que suas aplicações conformem com as áreas de armazenamento e ensaio dos padrões.
Requisitos*
|
Procedimentos de Avaluação*
|
Como EnCase Pode Ajudar
|
1.1.1
|
||
Requisitos do PCI PA-DSS
Após a autorização, não armazene todo o conteúdo de
qualquer rastreamento da faixa magnética (localizada na parte de trás do
cartão, dados equivalentes contidos no chip ou em qualquer outro lugar).
Esses dados são alternativamente chamados de rastreamento total,
rastreamento, rastreamento 1, rastreamento 2 e dados de faixa
magnética.Observação: No curso normal dos negócios, os seguintes elementos de
dados da faixa magnética podem necessitar de retenção:
- O nome do titular da conta
- O número da conta primária (PAN)
- Data de expiração e
- Código de serviço
|
Procedimentos
de Teste
Usa
as ferramentas e/ou métodos (ferramentas comerciais, scripts, etc.) e examina
todas as saídas criadas pelo aplicativo de pagamento e verifica se todos os
conteúdos de qualquer rastreamento da faixa magnética da parte de trás do
cartão ou dados equivalentes no chip não estão armazenados após a
autorização. Inclui pelo menos os seguintes tipos de arquivos (assim como
qualquer outra entrada gerada pelo aplicativo de pagamento):
- Dados
de transação de entrada
- Todos
os registros (por exemplo, transação, histórico, depuração, erro)
- Arquivos
do histórico
- Arquivos
de rastreamento
- Memória
não-volátil, incluindo cache não-volatil
O
SEGUINTE PODE OU NÃO SER INCLUIDO COM ENCASE DEPENDENDO DO TIPO DE BASE DE
DADOS
- Esquemas
de banco de dados
- Conteúdos
do banco de dados
|
Como
EnCase Pode Ajudar
EnCase
eDiscovery pode fazer auditorias remotas de todos os hosts através da
organização para encontrar qualquer dado dum titular de cartão como definido
e coberto pelo padrão PCI associado com transações tais como:
- Números De Contas Principais
- Números de Serviço
- PINs
EnCase
pode auditar em quase qualquer sistema operativo moderno (Windows, Linux,
Mac) e também dispositivos que suportam um agente para buscar arquivos,
historiais e memórias de registro (logs). EnCase eDiscovery também tem
funcionalidade OCR para buscar dados de titulares de cartões em capturas de
tela, outros tipos de imagens e também PDFs.
EnCase
também pode validar que os dados de titulares de cartões não esteja
armazenada, processada nem tenha sido transmitida em qualquer outro lugar da
organização.
|
1.1.2
|
||
Requisitos do PCI PA-DSS
Após a autorização, não armazene o valor de
verificação ou o código do cartão (número de três ou quatro dígitos impresso
na parte frontal ou de trás do cartão de pagamento) usado para verificar
transações em que o cartão não estava presente.
|
Procedimentos
de Teste
Use
as ferramentas e/ou métodos (ferramentas comercial, scripts, etc.) para
examinar todas as saídas criadas pelo aplicativo de pagamento e verifique se
o código de verificação de três ou quatro dígitos impresso na frente do
cartão ou no painel de assinaturas (dados CVV2, CVC2, CID, CAV2) não estejam
armazenados após a autorização. Inclui pelo menos os seguintes tipos de
arquivos (assim como qualquer outra entrada gerada pelo aplicativo de
pagamento):
- Dados
de transação de entrada
- Todos
os registros (por exemplo, transação, histórico,
depuração,
erro)
- Arquivos
do histórico
- Arquivos
de rastreamento
- Memória
não-volátil, incluindo cache não-volatil
O
SEGUINTE PODE OU NÃO SER INCLUIDO COM ENCASE DEPENDENDO DO TIPO DE BASE DE
DADOS
- Esquemas
de banco de dados
- Conteúdos
do banco de dados
|
Como
EnCase Pode Ajudar
EnCase
eDiscovery pode auditar milhares de
dispositivos para encontrar dados de PIN em máquinas nas quais se guardam ou
processam os dados de titulares de cartões em conformidade com o padrão PCI.
O padrão cita especificamente o uso de métodos e ferramentas forenses para
cumprir com este requisito.
|
1.1.3
|
||
Requisitos do PCI PA-DSS
Após a autorização, não armazene o número de
identificação pessoal (PIN) ou o bloqueio de PIN criptografado.
|
Procedimentos
de Teste
Use
as ferramentas e/ou métodos (ferramentas comerciais, scripts, etc.) para
examinar todas as saídas criadas pelo aplicativo de pagamento e verifique se
os PINs e os bloqueios de PIN criptografados não são armazenados após a
autorização. Inclui pelo menos os seguintes tipos de arquivos (assim como
qualquer outra entrada gerada pelo aplicativo de pagamento).
- Dados
de transação de entrada
- Todos
os registros (por exemplo, transação, histórico, depuração, erro)
- Arquivos
do histórico
- Arquivos
de rastreamento
- Memória
não-volátil, incluindo cache não-volatil
O
SEGUINTE PODE OU NÃO SER INCLUIDO COM ENCASE DEPENDENDO DO TIPO DE BASE DE
DADOS
- Esquemas
de banco de dados
- Conteúdos
do banco de dados
|
Como
EnCase Pode Ajudar
EnCase
eDiscovery pode analisar o output do software de pagamento após sua saída e
identificar números de PIN e bloques criptografados de PIN.
EnCase
pode auditar o output de qualquer pedido de pagamento ou buscar estes dados
em arquivos, historiais e memórias de registro (logs).
|
1.1.4
|
||
Requisitos do PCI PA-DSS
Exclua com segurança dados da faixa magnética,
valores ou códigos de verificação do cartão e PINs ou dados de bloqueio de
PIN armazenados por versões anterior do aplicativo de pagamento, de acordo
com padrões aceitos pela indústria para exclusão segura, como definido, por
exemplo, pela lista de produtos aprovados mantidos pela Agência de segurança
nacional ou por outros padrões ou regulamentos estaduais ou nacionais
|
Procedimentos
de Teste
1.1.4.b
Verifique
se o fornecedor fornece uma ferramenta ou procedimento de limpeza seguro para
remover os dados.
1.1.4.c
Verifique,
através do uso de ferramentas e/ou métodos forenses, se a ferramenta ou
procedimento de limpeza segura fornecida pelo fornecedor remove os dados com
segurança , de acordo com os padrões aceitos pela indústria para a exclusão
segura de dados.
|
Como
EnCase Pode Ajudar
Se
versões previas dos pedidos de pagamento armazenaram dados confidenciais de
autenticação, EnCase eDiscovery pode verificar que os dados hajam sido
eliminados de maneira segura do sistema a nível forense, em conformidade com
os padrões mais rigorosos.
|
* Copyright
2008-2010, PCI Security Standards Council LLC (Português: https://www.pcisecuritystandards.org/documents/pa-dss_pt-br_v2.pdf)
No seguinte post desta série, continuaremos a olhar ao seguinte grupo de requisitos para conformidade PCI. A intenção desta série é ajudar as organizações a entender como EnCase pode reduzir a complexidade da conformidade com o padrão PCI e ajudar com a execução prática destes requisitos.
- T. Grey, Engenheiro De Vendas Para A América Latina, Guidance Software
Se você quer uma demonstração de como EnCase pode ajudá-lo com cumprimento de padrões (Compliance), combate ao fraude e resposta a incidentes de malware, não duvide em contatar nossa equipe de vendas no e-mail sales-LatAm@encase.com
RELACIONADOS
A Primeira Regra é Levar Sempre o Casco
Quando Processos Antigos Se Encontram Com Novas Tecnologias
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment