O que é PCI DSS? Visão geral, requisitos e benefícios

O PCI DSS foi desenvolvido para incentivar e aprimorar a segurança de dados de contas de pagamento e facilitar a ampla adoção de medidas consistentes de segurança de dados em todo o mundo. O PCI DSS fornece uma base de requisitos técnicos e operacionais projetados para proteger dados de contas de pagamento e salvaguardar consumidores e empresas contra fraudes financeiras e danos à reputação.

Um dos principais objetivos do PCI DSS é proteger os dados do titular do cartão contra acesso não autorizado e possível uso indevido. Isso inclui números de contas principais, nomes de titulares de cartão, datas de validade e outras informações confidenciais. O padrão também foi criado para minimizar o risco de violações de dados, o que pode resultar em acesso não autorizado ou roubo de informações de cartão de pagamento. Ao implementar controles PCI DSS, as organizações também ajudam a prevenir e detectar atividades fraudulentas relacionadas a transações com cartão de pagamento.

É importante observar que os requisitos do PCI DSS evoluem com o tempo para lidar com novas ameaças de segurança, avanços tecnológicos e mudanças no cenário regulatório. Encontre os requisitos mais recentes no site do PCI Security Standard Council .

A conformidade com o PCI DSS exige que as organizações abordem uma série de vulnerabilidades potenciais para garantir a segurança dos dados do titular do cartão. A seguir estão quatro áreas de vulnerabilidade comuns que as organizações devem abordar para manter a conformidade com o PCI DSS.

• Sistemas de ponto de venda (POS): Os sistemas POS manipulam dados confidenciais de cartões de pagamento durante as transações e são suscetíveis a diversas vulnerabilidades que podem levar a violações de dados e acesso não autorizado. Muitos sistemas POS funcionam com hardware e software desatualizados que podem não receber atualizações de segurança regulares, expondo vulnerabilidades que os invasores podem explorar. Nomes de usuários e senhas fracos ou padrão em sistemas POS também podem ser explorados por invasores. Além disso, os sistemas POS também costumam envolver integrações de terceiros. Se esses fornecedores terceirizados tiverem práticas de segurança fracas ou se houver vulnerabilidades na cadeia de suprimentos, isso pode introduzir riscos ao sistema geral.
• Redes sem fio não seguras: Eles podem fornecer um ponto de entrada potencial para invasores comprometerem dados confidenciais do titular do cartão, já que redes sem fio desprotegidas podem ser facilmente acessadas por indivíduos não autorizados para se conectar a sistemas POS e outros dispositivos que manipulam informações de cartão de pagamento. Além disso, o tráfego sem fio pode não ter criptografia, expondo os dados transmitidos à interceptação e espionagem.
• Controles de acesso e autenticação fracos: Quando os controles de acesso não são robustos, indivíduos não autorizados podem ter acesso a recursos confidenciais, aumentando o risco de violações de dados, atividades não autorizadas e outros incidentes de segurança. Por exemplo, a dependência de senhas simples sem requisitos de complexidade ou contas de usuários mal gerenciadas que não verificam efetivamente a identidade dos usuários pode levar à visualização, modificação ou exfiltração não autorizadas de informações confidenciais de pagamento. O PCI DSS também enfatiza o uso de autenticação multifator (MFA) para aumentar a segurança dos controles de acesso. Usuários e sistemas devem receber o nível mínimo de acesso ou permissões necessárias para executar suas tarefas, de acordo com o princípio do menor privilégio. Os direitos de acesso devem ser adaptados a funções, responsabilidades e cargos específicos.
• Criptografia, tokenização e armazenamento de dados inadequados: A falha em implementar medidas robustas de criptografia, tokenização e armazenamento seguro de dados pode levar à não conformidade com o PCI DSS e aumentar o risco de violações de dados e comprometimento de informações confidenciais de cartões de pagamento. A criptografia de ponta a ponta garante que informações confidenciais de pagamento sejam criptografadas no ponto de entrada (no PDV) e permaneçam criptografadas durante todo o trajeto por vários sistemas e redes até chegar ao destino, onde o destinatário usa a chave correta para descriptografar os dados. Como alternativa, as informações de pagamento podem ser tokenizadas, um processo que envolve a substituição de dados confidenciais, como números de cartão de crédito, por valores de espaço reservado não confidenciais chamados tokens. Quando ocorre uma transação de pagamento, os dados reais do titular do cartão são substituídos por um token exclusivo que não tem valor intrínseco e é inútil para invasores sem acesso ao sistema de tokenização. Tanto a criptografia quanto a tokenização ajudam a evitar espionagem ou interceptação por agentes mal-intencionados e mantêm a confidencialidade dos dados do titular do cartão.

O PCI DSS determina uma linha de base de requisitos técnicos e operacionais projetados para proteger dados de contas de pagamento. Esses requisitos são detalhados nos seis princípios do PCI DSS a seguir.

1. Crie e mantenha uma rede e sistemas seguros

A proteção dos dados do titular do cartão começa com o estabelecimento de uma infraestrutura de rede segura. Isso inclui o uso de firewalls para controlar e monitorar o tráfego entre redes e restringir o acesso não autorizado. A microssegmentação é outra estratégia de segurança recomendada que envolve dividir uma rede em segmentos pequenos e distintos para melhorar a segurança ao controlar o tráfego lateral "leste-oeste" dentro da rede e no nível do aplicativo ou da carga de trabalho para reduzir a superfície potencial de ataque. Estabelecer práticas recomendadas de gerenciamento de vulnerabilidades também é fundamental para garantir que os sistemas sejam corrigidos e atualizados.

2. Proteja os dados do titular do cartão

Este princípio se concentra na criptografia e proteção dos dados do titular do cartão durante a transmissão e o armazenamento para evitar acesso não autorizado a informações confidenciais. O requisito determina o uso de criptografia forte para proteger os dados do titular do cartão durante a transmissão por redes públicas e o desenvolvimento de políticas de retenção de dados que evitem o armazenamento de dados de autenticação confidenciais após a autorização. As políticas de proteção de dados também exigem o mascaramento ou truncamento de números de contas primárias (PANs) para minimizar o risco de acesso não autorizado e exposição de informações confidenciais do titular do cartão. De acordo com os requisitos do PCI DSS, os primeiros seis e os últimos quatro dígitos de um PAN são o número máximo de dígitos exibidos quando o PAN está visível.

3. Manter um programa de gerenciamento de vulnerabilidades

Manter um ambiente seguro exige identificar e abordar vulnerabilidades regularmente. Isso inclui a realização de varreduras regulares de vulnerabilidades, que alertam as empresas sobre falhas preexistentes em seu código, e testes de penetração, que determinam se o acesso não autorizado ou outra atividade maliciosa é possível. simulando ataques do mundo real para testar a eficácia das medidas de segurança existentes. É essencial abordar prontamente qualquer fraqueza encontrada por meio de varreduras ou testes para proteger contra possíveis comprometimentos dos sistemas e dos dados do titular do cartão que eles podem conter . Além disso, as organizações são obrigadas a desenvolver e aplicar diretrizes de codificação segura, como aquelas descritas por organizações como a OWASP , para evitar a introdução de vulnerabilidades durante o ciclo de vida de desenvolvimento de software.

4. Implementar medidas fortes de controle de acesso

Restringir o acesso aos componentes do sistema e aos dados do titular do cartão ajuda a impedir que pessoas ou sistemas não autorizados tenham acesso. O PCI DSS determina a limitação do acesso conforme a necessidade empresarial, geralmente chamada de princípio do menor privilégio, que sustenta que um usuário ou sistema deve ter acesso somente aos dados, recursos e aplicativos específicos necessários para concluir uma tarefa necessária. Da mesma forma, os controles de acesso baseados em funções (RBAC) restringem o acesso ao sistema a usuários autorizados com base em suas funções dentro de uma organização. Essas políticas exigem que os controles de acesso sejam frequentemente revisados e atualizados para refletir mudanças em pessoal e funções. Eles também pedem a implementação de MFA para acesso a sistemas e dados de titulares de cartão e para melhorar as políticas de senha e melhores práticas.

5. Monitore e teste redes regularmente

Monitoramento e testes contínuos são essenciais para detectar e responder prontamente a incidentes de segurança. Isso envolve implementar mecanismos de registro, realizar testes de segurança regulares e revisar continuamente a atividade da rede. As ferramentas de monitoramento de rede também incluem sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS) que analisam e avaliam a integridade do tráfego de rede para identificar padrões de ataque, atividades anormais e uso não autorizado. As organizações também devem estabelecer um plano de resposta a incidentes e procedimentos de emergência e garantir que esses processos sejam testados regularmente.

6. Manter uma Política de Segurança da Informação

O PCI DSS também exige que as organizações estabeleçam e mantenham uma política de segurança abrangente que defina a estrutura para proteger os dados do titular do cartão e orientar as práticas de segurança dentro da organização. A política deve ser documentada, revisada regularmente e atualizada para refletir mudanças na tecnologia e nos processos de negócios. As organizações também devem garantir que os funcionários estejam cientes e treinados sobre as políticas e procedimentos de segurança.

A conformidade com os 12 requisitos do PCI DSS a seguir é essencial para que as organizações criem uma postura de segurança robusta, protejam os dados dos titulares do cartão e minimizem o risco de violações de dados.

1. Instalar e manter controles de segurança de rede. Controles de segurança de rede (NSCs), como firewalls e outras tecnologias de segurança de rede, são pontos de aplicação de políticas de rede que normalmente controlam o tráfego de rede entre dois ou mais segmentos de rede lógica ou física (ou sub-redes). Os NSCs atuam como uma barreira entre a rede interna segura e as redes externas e controlam o tráfego de entrada e saída com base em regras ou políticas de segurança predeterminadas para ajudar a impedir o acesso não autorizado aos dados do titular do cartão.
2. Aplique configurações seguras a todos os componentes do sistema. Alterar as configurações padrão garante que os sistemas sejam configurados com segurança desde o início, reduzindo o risco de acesso não autorizado, pois as senhas e configurações padrão são bem conhecidas pelos invasores. Não use padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança.
3. Proteja os dados armazenados do titular do cartão. As organizações são obrigadas a criptografar os dados armazenados dos titulares dos cartões para protegê-los contra acesso não autorizado, mesmo que ocorra uma violação, tornando os dados roubados ilegíveis sem as chaves de descriptografia adequadas.
4. Proteja os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas e abertas. Isso protege contra espionagem e acesso não autorizado durante a transmissão de dados.
5. Proteja todos os sistemas e redes contra softwares maliciosos. Atualizações regulares do software antivírus e o uso de ferramentas antimalware ajudam a prevenir, detectar e remover software malicioso, reduzindo o risco de comprometimento.
6. Desenvolver e manter sistemas e softwares seguros. Desenvolva aplicativos com a segurança em mente, enfatizando a importância de práticas de codificação seguras e manutenção contínua de sistemas e aplicativos. Atualize e aplique patches regularmente no software para ajudar a corrigir vulnerabilidades que podem ser exploradas por invasores.
7. Restrinja o acesso aos componentes do sistema e aos dados do titular do cartão conforme a necessidade comercial. Os controles de acesso limitam o acesso aos dados do titular do cartão apenas aos indivíduos cujo trabalho exige isso. Isso reduz o risco de acesso não autorizado e ajuda as organizações a aderir ao princípio do menor privilégio.
8. Identifique usuários e autentique o acesso aos componentes do sistema. Atribua IDs exclusivos e senhas fortes para autenticar usuários. Isso ajuda a garantir que somente indivíduos autorizados possam acessar os dados do titular do cartão. A autenticação multifator pode adicionar uma camada extra de segurança.
9. Restrinja o acesso físico aos dados do titular do cartão. Controles de acesso físico, como restrições de entrada e vigilância, ajudam a impedir que indivíduos não autorizados acessem fisicamente sistemas que armazenam dados do titular do cartão.
10. Registre e monitore todo o acesso aos componentes do sistema e aos dados do titular do cartão. Arquivos de log, sistemas de detecção/prevenção de intrusão e outras ferramentas de rastreamento contribuem para um monitoramento contínuo eficaz, permitindo que as organizações detectem e respondam prontamente a atividades suspeitas.
11. Teste a segurança dos sistemas e redes regularmente. Testes proativos, incluindo avaliações de vulnerabilidades e testes de penetração, ajudam a identificar e resolver fraquezas de segurança antes que invasores possam explorá-las.
12. Dê suporte à segurança da informação com políticas e programas organizacionais. Implemente uma política de segurança abrangente para conformidade contínua que estabeleça as regras e diretrizes para proteger os dados do titular do cartão e garanta que todo o pessoal esteja ciente, treinado e cumpra esta política.

Os níveis de conformidade com o PCI são divididos em quatro níveis com base no volume total de transações com cartão de crédito, débito e cartão pré-pago ao longo de 12 meses. As organizações devem determinar seu volume de transações com precisão e cumprir os requisitos do nível correspondente para garantir e manter a conformidade com o PCI DSS. Manter o nível apropriado de conformidade é essencial para proteger transações de comércio eletrônico, manter um ambiente seguro para dados do titular do cartão e prevenir possíveis violações.

Nível 1: Empresas com mais de 6 milhões de transações anualmente

O Nível 1 de Conformidade com PCI é o nível mais alto e rigoroso do PCI DSS e foi projetado para garantir o mais alto nível de segurança para empresas que armazenam, transmitem ou processam dados de cartão de crédito. Além disso, comerciantes e provedores de serviços de qualquer tamanho que tenham sido expostos a uma violação ou ataque cibernético resultando no comprometimento de dados de cartão de crédito ou do titular do cartão devem atender aos requisitos do PCI Nível 1. A validação PCI Nível 1 exige um relatório anual de conformidade (ROC) por um avaliador de segurança qualificado (QSA) ou um avaliador de segurança interno e, normalmente, também exige testes de penetração, que envolvem a simulação de ataques cibernéticos do mundo real em sistemas de computador e aplicativos para identificar vulnerabilidades. A validação PCI Nível 1 também exige uma varredura de rede trimestral por um fornecedor de varredura aprovado (ASV).

Nível 2: Empresas com 1 a 6 milhões de transações anualmente

Os comerciantes PCI DSS Nível 2 devem conduzir uma avaliação de conformidade uma vez por ano usando um questionário de autoavaliação (SAQ) e executar varreduras de rede trimestrais por um ASV. Eles também devem preencher o Formulário de Atestado de Conformidade (AOC). Assim como no Nível 1, alguns comerciantes do Nível 2 podem ser obrigados a realizar testes de penetração. Uma auditoria PCI DSS no local não é necessária para comerciantes de Nível 2, a menos que tenham sofrido uma violação de dados ou ataque cibernético que comprometa os dados do cartão de crédito ou do titular do cartão.

Nível 3: Empresas com 20.000 a 1 milhão de transações de comércio eletrônico anualmente

Os comerciantes PCI DSS Nível 3 devem preencher o SAQ anual apropriado e executar uma varredura de rede trimestral por um ASV. O comerciante também deve preencher e enviar um formulário AOC.

Nível 4: Empresas com menos de 20.000 transações de comércio eletrônico ou até 1 milhão de outras transações anualmente

Os comerciantes PCI Nível 4 devem concluir o SAQ anual apropriado, e uma verificação trimestral de segurança de rede externa ASV pode ser necessária. O comerciante também deve preencher e enviar um formulário AOC. Nem todos os provedores de cartão têm designações de Nível 4.

Aderir aos 12 requisitos do PCI DSS é fundamental para fortalecer a segurança dos dados e contribuir para a conformidade geral. Os requisitos trabalham juntos para criar uma estrutura abrangente para proteger os dados do titular do cartão e evitar violações de segurança.

A conformidade com o PCI DSS demonstra um comprometimento em proteger dados confidenciais do titular do cartão, garantindo aos clientes que os detalhes do seu cartão de crédito são tratados com os mais altos padrões de segurança e promovendo a confiança na capacidade da empresa de proteger suas informações pessoais. Além disso, as empresas que aderem ao PCI DSS estão melhor posicionadas para se defender contra ações legais e penalidades regulatórias relacionadas à segurança inadequada de dados.

Manter a conformidade com o PCI DSS oferece outras vantagens de longo prazo à medida que os cenários de tecnologia e segurança evoluem. Aderir aos requisitos do PCI DSS significa que as organizações permanecem vigilantes e estão mais bem equipadas para evitar ataques avançados e sofisticados e podem se adaptar mais rapidamente às ameaças cibernéticas em evolução. A adesão ao PCI DSS também promove uma cultura centrada na segurança dentro de uma organização que vai além da conformidade, incentivando esforços contínuos para fortalecer as práticas de segurança de dados.

Como exemplo de como o PCI DSS pode ajudar a construir (e reconstruir) a confiança do cliente, em 2012 , a Global Payments, uma grande empresa de processamento de pagamentos, sofreu uma violação de dados que resultou em acesso não autorizado a informações confidenciais de cartões de pagamento. A violação afetou cerca de 1,5 milhão de cartões de crédito e débito, levantando preocupações sobre a segurança das transações de pagamento. A Global Payments tomou medidas imediatas para conter a violação e iniciou uma investigação para determinar a extensão do comprometimento. As agências de aplicação da lei, incluindo os EUA Serviço Secreto, estavam envolvidos na investigação.

Em resposta à violação, a Global Payments se comprometeu a aprimorar sua infraestrutura de segurança e implementar medidas adicionais para evitar incidentes semelhantes no futuro. A empresa também se comprometeu a priorizar a obtenção e manutenção da conformidade com os requisitos do PCI DSS, o que ajudou a garantir aos clientes e partes interessadas que a Global Payments estava tomando medidas concretas para proteger os dados de pagamento.

Ao abordar proativamente vulnerabilidades de segurança, investir em medidas de segurança aprimoradas e alcançar a conformidade com o PCI DSS, a Global Payments demonstrou comprometimento em reconstruir a confiança. O compromisso da empresa com a transparência, o investimento em segurança e a obtenção da conformidade com o PCI DSS desempenharam papéis essenciais na recuperação da confiança do cliente e na reconstrução de sua reputação no setor de processamento de pagamentos.

Complexidade dos Requisitos

A execução dos 12 requisitos do PCI DSS pode representar vários desafios para as organizações porque recursos adequados, tanto em termos de pessoal quanto de tecnologia, são necessários para implementar e manter a conformidade com o PCI DSS. Organizações de todos os tamanhos podem ter dificuldade para definir e limitar com precisão o escopo de sua implementação, mas é particularmente desafiador para empresas menores com orçamentos e experiência limitados, ou para aquelas com sistemas legados que precisam ser atualizados para atender aos padrões atuais do PCI DSS. As empresas geralmente dependem de fornecedores terceirizados para vários elementos da implementação, mas garantir que esses fornecedores cumpram os requisitos do PCI DSS e protejam a cadeia de suprimentos também é uma grande responsabilidade.

Manutenção em andamento

Manter a conformidade com o PCI DSS é um processo contínuo e requer monitoramento, testes e avaliações regulares. Isso exige que as organizações permaneçam vigilantes e atualizem suas medidas de segurança e políticas de gerenciamento de patches regularmente. Manter a conformidade também envolve um compromisso contínuo com testes regulares de sistemas e processos de segurança, incluindo a realização de testes de penetração completos e avaliações de vulnerabilidade, que podem exigir muitos recursos, apresentar desafios logísticos e sobrecarregar os recursos ao longo do tempo.

Implicações de custo

O cenário da segurança cibernética está em constante evolução, com ameaças novas e sofisticadas surgindo regularmente. A conformidade com o PCI DSS exige que as empresas monitorem e analisem continuamente o cenário de ameaças para entender e se antecipar a esses riscos. Identificar e mitigar vulnerabilidades de dia zero também representa um desafio significativo para manter a conformidade com o PCI DSS, pois essas vulnerabilidades são falhas de segurança desconhecidas que os agentes de ameaças exploram antes que os fornecedores tenham a chance de lançar patches. A melhoria contínua e o compromisso de se manter informado sobre as últimas tendências de segurança são essenciais para enfrentar com sucesso os desafios de se manter à frente das ameaças emergentes e, ao mesmo tempo, garantir que a conformidade com o PCI DSS se adapte à natureza dinâmica das ameaças cibernéticas.

Cenário de ameaças em evolução

O cenário da segurança cibernética está em constante evolução, com ameaças novas e sofisticadas surgindo regularmente. A conformidade com o PCI DSS exige que as empresas monitorem e analisem continuamente o cenário de ameaças para entender e se antecipar a esses riscos. Identificar e mitigar vulnerabilidades de dia zero também representa um desafio significativo para manter a conformidade com o PCI DSS, pois essas vulnerabilidades são falhas de segurança desconhecidas que os agentes de ameaças exploram antes que os fornecedores tenham a chance de lançar patches. A melhoria contínua e o compromisso de se manter informado sobre as últimas tendências de segurança são essenciais para enfrentar com sucesso os desafios de se manter à frente das ameaças emergentes e, ao mesmo tempo, garantir que a conformidade com o PCI DSS se adapte à natureza dinâmica das ameaças cibernéticas.

Visite o site do PCI Security Standard Council para obter as informações mais recentes sobre os requisitos de conformidade do PCI DSS, informações sobre treinamento e qualificação e acesso a profissionais qualificados do PCI. O site também oferece uma extensa biblioteca de recursos que inclui perguntas frequentes, um glossário e um prático guia de referência rápida do PCI DSS.

A conformidade com o PCI DSS é essencial para organizações que lidam com transações de cartão de crédito, pois seus requisitos ajudam a garantir a segurança dos dados do titular do cartão, a proteção das redes de transações e o monitoramento e teste obrigatórios dos sistemas de segurança. A F5 oferece um conjunto de produtos, serviços e soluções de segurança de aplicativos para ajudar sua organização a atingir e manter a conformidade com o PCI DSS. Além disso, a F5 Distributed Cloud Services está em conformidade com o PCI DSS como provedora de serviços de Nível 1.

A F5 também fornece liderança inovadora para estratégias e insights de segurança e proteção de aplicativos por meio de pesquisas, análises, blogs e relatórios do F5 Labs .