A intenção
desta serie de artigos do nosso blog é ajudar às organizações a entender o
padrão PCI DSS V2, explicar como EnCase pode reduzir a complexidade da conformidade com o padrão PCI, ajudar com
a medição do risco para cumprir o padrão, assim como reduzir o tempo e aumentar
os resultados da execução dos seus requisitos.
Nos dois primeiros artigos desta
série, começamos a mostrar nossa visão geral sobre como EnCase pode ajudar com
os requisitos de autoanálise e análise por terceiras partes do Padrão De
Segurança De Dados da Indústria De Cartões de Pago (PCI DSS, segundo sua sigla
em inglês), citando diretamente o padrão. Neste último artigo, veremos como EnCase
eDiscovery combinado com EnCase Enterprise podem ajudar a encontrar diversos tipos
de dados de contas de titulares de cartões e terminaremos nossa vista geral dos
requisitos de conformidade, padrão por padrão.
Como discutimos
na primeira e na segunda parte desta série, a conformidade com os requisitos do
padrão PCI DSS dependem do número de conta principal (PAN, segundo sua sigla em
inglês). EnCase tem formatos predefinidos
de cartões de crédito que podem ajudar às organizações a buscar
facilmente estes tipos de PANs.
Cartões Tipo 1
|
|
|
|
American Express
|
Visa
|
MasterCard
|
Discover Card
|
Diners Club
|
JCB
|
Maestro
|
Laser
|
InstaPayment
|
Solo
|
Switch
|
Visa Electron
|
Cartões Tipo 2
|
|
|
|
American Express
|
Visa
|
Diners Club/Carte Blanche
|
Diners Club
International
|
Laser
|
Maestro
|
|
|
Cartões
adicionais podem ser buscados usando formatos personalizados. Todos os formatos
podem ser validados facilmente usando o algoritmo de LUHN.
Além dos formatos de cartão de crédito que estão predefinidas, os formatos
personalizados e os critérios de busca em EnCase também podem ajudar a
encontrar documentos ou entradas no registro (log) que contenham dados
adicionais de titulares de cartão ou outros requisitos mencionados no padrão
PCI DSS que estão associados com o número de conta principal. Esta informação
pode incluir os nomes de titulares de cartão, PINs e outros dados normalmente
armazenados na tarja magnética dum cartão de crédito. Milhares de clientes do
EnCase também fazem buscas rotineiramente
para encontrar dados localizados em servidores com saída à internet,
auditam hardware/software e correções de software, identificam arquivos
criptografados e entendem as conexões remotas realizadas a vários computadores.
Muitas destas tarefas adicionais também estão nos padrões PCI DSS, e muitos
destes requisitos estão referenciados nesta série de artigos do blog.
Agora
vejamos o último grupo de padrões de conformidade com os quais EnCase pode
ajudar a vários tipos de organizações . Veremos os requisitos específicos
usando uma abordagem “padrão por padrão” e apresentaremos somente os padrões
nos quais EnCase pode oferecer utilidade.
Requisitos*
|
Procedimentos de Avaliação*
|
Como EnCase Pode Ajudar
|
3.3
|
|
|
Requisitos do PCI PA-DSS
Deixa as senhas do aplicativo de pagamento ilegíveis
durante a transmissão e o armazenamento, usando criptografia robusta baseada
nos padrões aprovados
|
Procedimentos
de Teste
Examine
os arquivos de senha do aplicativo de pagamento
durante
o armazenamento e a transmissão para verificar se as
senhas
estão ilegíveis em todos os momentos.
|
Como
EnCase Pode Ajudar
EnCase
pode ajudar a determinar o nível de criptografia de qualquer arquivo que
contenha senhas em qualquer computador ou unidade de armazenamento no qual
esses arquivos tenham sido armazenados ou hajam tocado o sistema de arquivos.
Isto pode incluir arquivos eliminados ou sobrescritos.
|
4.2.3
|
|
|
Requisitos do PCI PA-DSS
Acesso às trilhas de auditoria gerenciadas pelo ou
no aplicativo
|
Procedimentos
de Teste
Verifique
se o acesso às trilhas de auditoria gerenciadas pelo ou no aplicativo está
registrado
|
Como
EnCase Pode Ajudar
EnCase
pode validar a conformidade com este padrão em pagamentos que guardam
arquivos de auditoria ou arquivos no sistema de arquivos.
|
4.2.6
|
|
|
Requisitos do PCI PA-DSS
Inicialização dos registros de auditoria do
aplicativo
|
Procedimentos
de Teste
Verifique
se a inicialização dos registros de auditoria está registrada
|
Como
EnCase Pode Ajudar
EnCase
pode validar a conformidade com este padrão em pagamentos que guardam
arquivos de auditoria ou arquivos no sistema de arquivos.
|
4.2.7
|
|
|
Requisitos do PCI PA-DSS
Criação e exclusão de objetos no nível do sistema no
ou pelo aplicativo
|
Procedimentos
de Teste
Criação
e exclusão de objetos no nível do sistema no ou pelo aplicativo
|
Como
EnCase Pode Ajudar
EnCase
pode prover uma visibilidade completa dos objetos de nível de sistema criados
pelos sistemas de pagamento e ver os câmbios que ocorrem ao longo do
tempo.
|
4.3
|
|
|
Requisitos do PCI PA-DSS
O aplicativo de pagamento deve registrar no mínimo
as seguintes entradas de trilhas de auditoria para cada evento
|
Procedimentos
de Teste
Teste
o aplicativo de pagamento e examine os logs de auditoria e suas definições,
então, para cada evento auditável (desde o 4.2)
|
Como
EnCase Pode Ajudar
Se
os dados de auditoria estão armazenados, EnCase pode ajudar a validar que a ID do usuário, o
tipo de evento, a data, o tempo, a
origem e outros tipos de dados de auditoria estejam guardados nos registros
(logs)
|
5.1.1
|
|
|
Requisitos do PCI PA-DSS
PANs reais não são utilizados para testes ou
desenvolvimento
|
Procedimentos
de Teste
PANs
reais não são utilizados para testes ou desenvolvimento
|
Como
EnCase Pode Ajudar
EnCase
oferece vários produtos que podem ser usados de maneira autônoma ou integrados
num ambiente de teste no desenvolvimento de software, assim como processos de
lançamento de software para assegurar que os dados confidenciais como PANs
sejam identificados e remediados quando estejam fora de padrão.
|
5.1.2
|
|
|
Requisitos do PCI PA-DSS
Remoção de dados e contas de teste antes da entrega
ao cliente.
|
Procedimentos
de Teste
Remoção
de dados e contas de teste antes da entrega ao cliente.
|
Como
EnCase Pode Ajudar
EnCase
oferece vários produtos que podem ser usados de maneira autônoma ou integrados
num ambiente de teste no desenvolvimento de software, assim como processos de
lançamento de software para assegurar que os dados confidenciais sejam
identificados em registros (logs) e outros arquivos. Estes dados também podem
ser remediados antes do lançamento dum software quando sejam encontrados fora
de padrão.
|
5.1.3
|
|
|
Requisitos do PCI PA-DSS
Remoção de contas, IDs de usuário e senhas
personalizadas do aplicativo de pagamento antes que seja liberado aos
clientes
|
Procedimentos
de Teste
Contas,
IDs de usuário e senhas personalizadas do aplicativo de pagamento são
removidas antes que seja liberado aos clientes.
|
Como
EnCase Pode Ajudar
EnCase
oferece vários produtos que podem ser usados de maneira autônoma ou
integrados num ambiente de teste no desenvolvimento de software, assim como
processos de lançamento de software para assegurar que os dados confidenciais
sejam identificados em registros (logs) e outros arquivos. Estes dados também
podem ser remediados antes do lançamento dum software quando sejam
encontrados fora de padrão.
|
8.1
|
|
|
Requisitos do PCI PA-DSS
O aplicativo de pagamento deve poder ser
implementado em um ambiente de rede seguro. O aplicativo não deve interferir
com o uso de dispositivos, aplicativos ou configurações exigidos para
conformidade com o PCI DSS (por exemplo, o aplicativo de pagamento não pode
interferir com a proteção antivírus, configurações de firewall ou qualquer
outro dispositivo, aplicativo ou configuração exigidos para conformidade com
o PCI DSS).
|
Procedimentos
de Teste
Teste
o aplicativo de pagamento em um laboratório para obter evidências de que pode
ser executado em uma rede totalmente compatível com o PCI DSS. Verificar se o
aplicativo de pagamento não inibe a instalação de patches ou atualizações em
outros componentes no ambiente
|
Como
EnCase Pode Ajudar
EnCase
pode auditar dispositivos para encontrar processos e outros dados voláteis
para assegurar que as aplicações chave baseadas no host requeridas para a
conformidade PCI DSS estejam ativadas e em funcionamento.
|
9
|
|
|
Requisitos do PCI PA-DSS
9.
Os dados do portador do cartão nunca devem ser
armazenados em servidores conectados à Internet
9.1
O aplicativo de pagamento deve ser desenvolvido de
modo que o servidor do banco de dados e o servidor web não precisem estar no
mesmo servidor, nem o servidor do banco de dados precise estar no DMZ com o
servidor web
|
Procedimentos
de Teste
9.1.a
Para
verificar se o aplicativo de pagamento armazena os dados do portador do
cartão na rede interna, e nunca no DMZ, obtenha evidências de que o
aplicativo de pagamento não exija armazenamento de dados no DMZ, e permita o
uso de um DMZ para separar a Internet de sistemas que armazenam dados do
portador do cartão (por exemplo, o aplicativo de pagamento não deve exigir
que o servidor do banco de dados e o servidor web estejam no mesmo servidor
ou no DMZ com o servidor web)
|
Como
EnCase Pode Ajudar
EnCase
eDiscovery pode auditar todos os servidores e dispositivos com saída a
internet ou dentro duma DMZ para assegurar que nenhum dado de titulares de
cartão estejam nestes computadores. As auditorias podem ser programadas
regularmente, e quando combinado com EnCase Cybersecurity, pode ser usado especificamente
para remediar qualquer dado de titulares de cartão fora de conformidade que
seja encontrado, assim como para um grupo muito mais abrangente de cenários
de conformidade.
|
10.3.2
|
|
|
Requisitos do PCI PA-DSS
Se fornecedores, revendedores/integradores ou
clientes puderem acessar remotamente os aplicativos de pagamento do cliente,
o acesso remoto deve ser implementado de forma segura.
|
Procedimentos
de Teste
10.3.2.a
Se
o fornecedor do software utilizar produtos de acesso remoto para acesso
remoto ao aplicativo do cliente, verifique se a equipe do fornecedor
implementa e usa recursos de segurança de acesso remoto.
10.3.2.b
Se
revendedores/integradores ou clientes puderem usar o software de acesso
remoto, examine o Guia de Implementação do PA-DSS preparado pelo fornecedor
de software e verifique se os clientes e revendedores/integradores foram
orientados a usar e implementar os recursos de segurança de acesso remoto.
|
Como
EnCase Pode Ajudar
EnCase
pode determinar rapidamente as conexões remotas a qualquer dispositivo
|
No futuro,
faremos o mesmo tipo de análise sobre a próxima versão do padrão de
conformidade PCI (versão 3) que será lançada em novembro de 2013.
-
T.
Grey, Engenheiro De Vendas Para A América Latina, Guidance Software
Se você
quiser uma demonstração de como EnCase pode ajudá-lo com o cumprimento de
padrões (Compliance), combate ao fraude e resposta a incidentes de malware, não
duvide em contatar nossa equipe de vendas no e-mail sales-LatAm@encase.com
RELACIONADOS
-
No comments :
Post a Comment