E Agora Que?: Entendendo A Conformidade Com O Padrão PCI DSS V2 Com EnCase – Parte III



A intenção desta serie de artigos do nosso blog é ajudar às organizações a entender o padrão PCI DSS V2, explicar como EnCase pode reduzir a complexidade  da conformidade com o padrão PCI, ajudar com a medição do risco para cumprir o padrão, assim como reduzir o tempo e aumentar os resultados da execução dos seus requisitos. 

Nos dois primeiros artigos desta série, começamos a mostrar nossa visão geral sobre como EnCase pode ajudar com os requisitos de autoanálise e análise por terceiras partes do Padrão De Segurança De Dados da Indústria De Cartões de Pago (PCI DSS, segundo sua sigla em inglês), citando diretamente o padrão. Neste último artigo, veremos como EnCase eDiscovery combinado com EnCase Enterprise podem ajudar a encontrar diversos tipos de dados de contas de titulares de cartões e terminaremos nossa vista geral dos requisitos de conformidade, padrão por padrão. 


Como discutimos na primeira e na segunda parte desta série, a conformidade com os requisitos do padrão PCI DSS dependem do número de conta principal (PAN, segundo sua sigla em inglês). EnCase tem formatos predefinidos  de cartões de crédito que podem ajudar às organizações a buscar facilmente estes tipos de PANs. 

Cartões Tipo 1



American Express
Visa
MasterCard
Discover Card
Diners Club
JCB
Maestro
Laser
InstaPayment
Solo
Switch
Visa Electron
Cartões Tipo 2



American Express
Visa
Diners Club/Carte Blanche
Diners Club International
Laser
Maestro




Cartões adicionais podem ser buscados usando formatos personalizados. Todos os formatos podem ser validados facilmente usando o algoritmo de LUHN. 

Além dos formatos de cartão de crédito que estão predefinidas, os formatos personalizados e os critérios de busca em EnCase também podem ajudar a encontrar documentos ou entradas no registro (log) que contenham dados adicionais de titulares de cartão ou outros requisitos mencionados no padrão PCI DSS que estão associados com o número de conta principal. Esta informação pode incluir os nomes de titulares de cartão, PINs e outros dados normalmente armazenados na tarja magnética dum cartão de crédito. Milhares de clientes do EnCase também fazem buscas rotineiramente  para encontrar dados localizados em servidores com saída à internet, auditam hardware/software e correções de software, identificam arquivos criptografados e entendem as conexões remotas realizadas a vários computadores. Muitas destas tarefas adicionais também estão nos padrões PCI DSS, e muitos destes requisitos estão referenciados nesta série de artigos do blog. 

Agora vejamos o último grupo de padrões de conformidade com os quais EnCase pode ajudar a vários tipos de organizações . Veremos os requisitos específicos usando uma abordagem “padrão por padrão” e apresentaremos somente os padrões nos quais EnCase pode oferecer utilidade.

Requisitos*
Procedimentos de Avaliação*
Como EnCase Pode Ajudar

3.3


Requisitos do PCI PA-DSS

Deixa as senhas do aplicativo de pagamento ilegíveis durante a transmissão e o armazenamento, usando criptografia robusta baseada nos padrões aprovados
Procedimentos de Teste

Examine os arquivos de senha do aplicativo de pagamento
durante o armazenamento e a transmissão para verificar se as
senhas estão ilegíveis em todos os momentos.
Como EnCase Pode Ajudar

EnCase pode ajudar a determinar o nível de criptografia de qualquer arquivo que contenha senhas em qualquer computador ou unidade de armazenamento no qual esses arquivos tenham sido armazenados ou hajam tocado o sistema de arquivos. Isto pode incluir arquivos eliminados ou sobrescritos.

4.2.3


Requisitos do PCI PA-DSS

Acesso às trilhas de auditoria gerenciadas pelo ou no aplicativo
Procedimentos de Teste

Verifique se o acesso às trilhas de auditoria gerenciadas pelo ou no aplicativo está registrado
Como EnCase Pode Ajudar

EnCase pode validar a conformidade com este padrão em pagamentos que guardam arquivos de auditoria ou arquivos no sistema de arquivos.
4.2.6


Requisitos do PCI PA-DSS

Inicialização dos registros de auditoria do aplicativo
Procedimentos de Teste

Verifique se a inicialização dos registros de auditoria está registrada
Como EnCase Pode Ajudar

EnCase pode validar a conformidade com este padrão em pagamentos que guardam arquivos de auditoria ou arquivos no sistema de arquivos.
4.2.7


Requisitos do PCI PA-DSS

Criação e exclusão de objetos no nível do sistema no ou pelo aplicativo
Procedimentos de Teste

Criação e exclusão de objetos no nível do sistema no ou pelo aplicativo
Como EnCase Pode Ajudar

EnCase pode prover uma visibilidade completa dos objetos de nível de sistema criados pelos sistemas de pagamento e ver os câmbios que ocorrem ao longo do tempo.   
4.3


Requisitos do PCI PA-DSS

O aplicativo de pagamento deve registrar no mínimo as seguintes entradas de trilhas de auditoria para cada evento

Procedimentos de Teste

Teste o aplicativo de pagamento e examine os logs de auditoria e suas definições, então, para cada evento auditável (desde o 4.2)
Como EnCase Pode Ajudar

Se os dados de auditoria estão armazenados, EnCase pode  ajudar a validar que a ID do usuário, o tipo de evento,  a data, o tempo, a origem e outros tipos de dados de auditoria estejam guardados nos registros (logs)
5.1.1


Requisitos do PCI PA-DSS

PANs reais não são utilizados para testes ou desenvolvimento
Procedimentos de Teste

PANs reais não são utilizados para testes ou desenvolvimento
Como EnCase Pode Ajudar

EnCase oferece vários produtos que podem ser usados de maneira autônoma ou integrados num ambiente de teste no desenvolvimento de software, assim como processos de lançamento de software para assegurar que os dados confidenciais como PANs sejam identificados e remediados quando estejam fora de padrão.


5.1.2


Requisitos do PCI PA-DSS

Remoção de dados e contas de teste antes da entrega ao cliente.

Procedimentos de Teste

Remoção de dados e contas de teste antes da entrega ao cliente.
Como EnCase Pode Ajudar

EnCase oferece vários produtos que podem ser usados de maneira autônoma ou integrados num ambiente de teste no desenvolvimento de software, assim como processos de lançamento de software para assegurar que os dados confidenciais sejam identificados em registros (logs) e outros arquivos. Estes dados também podem ser remediados antes do lançamento dum software quando sejam encontrados fora de padrão.

5.1.3


Requisitos do PCI PA-DSS

Remoção de contas, IDs de usuário e senhas personalizadas do aplicativo de pagamento antes que seja liberado aos clientes

Procedimentos de Teste

Contas, IDs de usuário e senhas personalizadas do aplicativo de pagamento são removidas antes que seja liberado aos clientes.
Como EnCase Pode Ajudar

EnCase oferece vários produtos que podem ser usados de maneira autônoma ou integrados num ambiente de teste no desenvolvimento de software, assim como processos de lançamento de software para assegurar que os dados confidenciais sejam identificados em registros (logs) e outros arquivos. Estes dados também podem ser remediados antes do lançamento dum software quando sejam encontrados fora de padrão.

8.1


Requisitos do PCI PA-DSS

O aplicativo de pagamento deve poder ser implementado em um ambiente de rede seguro. O aplicativo não deve interferir com o uso de dispositivos, aplicativos ou configurações exigidos para conformidade com o PCI DSS (por exemplo, o aplicativo de pagamento não pode interferir com a proteção antivírus, configurações de firewall ou qualquer outro dispositivo, aplicativo ou configuração exigidos para conformidade com o PCI DSS).
Procedimentos de Teste

Teste o aplicativo de pagamento em um laboratório para obter evidências de que pode ser executado em uma rede totalmente compatível com o PCI DSS. Verificar se o aplicativo de pagamento não inibe a instalação de patches ou atualizações em outros componentes no ambiente
Como EnCase Pode Ajudar

EnCase pode auditar dispositivos para encontrar processos e outros dados voláteis para assegurar que as aplicações chave baseadas no host requeridas para a conformidade PCI DSS estejam ativadas e em funcionamento.   
9


Requisitos do PCI PA-DSS

9.
Os dados do portador do cartão nunca devem ser armazenados em servidores conectados à Internet

9.1
O aplicativo de pagamento deve ser desenvolvido de modo que o servidor do banco de dados e o servidor web não precisem estar no mesmo servidor, nem o servidor do banco de dados precise estar no DMZ com o servidor web
Procedimentos de Teste

9.1.a
Para verificar se o aplicativo de pagamento armazena os dados do portador do cartão na rede interna, e nunca no DMZ, obtenha evidências de que o aplicativo de pagamento não exija armazenamento de dados no DMZ, e permita o uso de um DMZ para separar a Internet de sistemas que armazenam dados do portador do cartão (por exemplo, o aplicativo de pagamento não deve exigir que o servidor do banco de dados e o servidor web estejam no mesmo servidor ou no DMZ com o servidor web)
Como EnCase Pode Ajudar

EnCase eDiscovery pode auditar todos os servidores e dispositivos com saída a internet ou dentro duma DMZ para assegurar que nenhum dado de titulares de cartão estejam nestes computadores. As auditorias podem ser programadas regularmente, e quando combinado com EnCase Cybersecurity, pode ser usado especificamente para remediar qualquer dado de titulares de cartão fora de conformidade que seja encontrado, assim como para um grupo muito mais abrangente de cenários de conformidade.
10.3.2


Requisitos do PCI PA-DSS

Se fornecedores, revendedores/integradores ou clientes puderem acessar remotamente os aplicativos de pagamento do cliente, o acesso remoto deve ser implementado de forma segura.
Procedimentos de Teste

10.3.2.a
Se o fornecedor do software utilizar produtos de acesso remoto para acesso remoto ao aplicativo do cliente, verifique se a equipe do fornecedor implementa e usa recursos de segurança de acesso remoto.

10.3.2.b
Se revendedores/integradores ou clientes puderem usar o software de acesso remoto, examine o Guia de Implementação do PA-DSS preparado pelo fornecedor de software e verifique se os clientes e revendedores/integradores foram orientados a usar e implementar os recursos de segurança de acesso remoto.
Como EnCase Pode Ajudar

EnCase pode determinar rapidamente as conexões remotas a qualquer dispositivo



* Copyright 2008-2010, PCI Security Standards Council LLC (Português: https://www.pcisecuritystandards.org/documents/pa-dss_pt-br_v2.pdf)

No futuro, faremos o mesmo tipo de análise sobre a próxima versão do padrão de conformidade PCI (versão 3) que será lançada em novembro de 2013. 

-   T. Grey, Engenheiro De Vendas Para A América Latina, Guidance Software

Se você quiser uma demonstração de como EnCase pode ajudá-lo com o cumprimento de padrões (Compliance), combate ao fraude e resposta a incidentes de malware, não duvide em contatar nossa equipe de vendas no e-mail sales-LatAm@encase.com

RELACIONADOS



-       

No comments :

Post a Comment