PCI – Padrão de Segurança da Dados e o Processo Corporativo de Segurança da Informação
Tomei a liberdade de reproduzir o artigo de meu guru e amigo Edison Fontes para deleite de todos:
O Padrão de Segurança de Dados da Industria de Cartões de Pagamento (PCI DSS) define controles específicos para a segurança da informação relacionada ao negócio de cartões de pagamento. Surge uma dúvida: este padrão substitui os controles da Norma ISO/IEC 27002? Não! Muito pelo contrário: eles se complementam. Esta dupla faz um harmonioso conjunto de diretrizes, macrocontroles, controles e regras detalhadas que permitem que a organização proteja adequadamente as informações do seu negócio.
O Processo Corporativo de Segurança da Informação, baseado na Norma ISO/IEC 27002 deve ser implementado independente da organização ser obrigada a atender os requisitos do PCI DSS. Porém, para aquelas organizações que precisam seguir o PCI DSS, a estrutura do Processo Corporativo de Segurança da Informação disponibilizará uma arquitetura que facilitará a harmonia e a coordenação das ações necessárias para a segurança dos dados de carto de pagamentos. Todos os requisitos do PCI DSS estão relacionados à Dimensões de Segurança da Informação, sendo considerados nos controles ou macrocontroles.
Sendo assim, consideramos que uma organização que possui o seu Processo Corporativo de Segurança da Informação terá maior facilidade na execução e na gestão para: planejar, definir, gerar políticas e normas, implementar requisitos, comunicar e treinar os profissionais, alinhar com o Corpo Diretivo (Governança), gerenciar os riscos e manter os controles requeridos pelo PCI DSS. Quando indico que uma organização possui o seu processo Corporativo de Segurança da Informação não quer dizer que esta organização atende de maneira satisfatória todos os controles de segurança. Significa que a organização segue uma arquitetura e todas as suas ações serão consideradas de uma maneira estruturada, integrada e com abordagem holística corporativa.
Considerando a Norma NBR ISO/IEC 27002:2013 temos as seguintes Dimensões para o Processo Corporativo de Segurança da Informação.
Em relação aos Requisitos PCI DSS, existe um relacionamento com as Dimensões do Processo Corporativo de Segurança da Informação (Norma ISO/IEC 27002). Descrevemos abaixo este relacionamento.
Requisito 1: Instalar, manter uma configuração de firewall para proteger dados do cartão.
- Dimensão Proteção Técnica
- Dimensão Políticas e Normas
Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança
- Dimensão Políticas e Normas
- Dimensão Acesso Informação
- Dimensão Proteção Técnica
- Dimensão Classificação da Informação
Requisito 3: Proteger os dados armazenados do titular do cartão
- Dimensão Políticas e Normas.
- Dimensão Acesso Informação
- Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudança)
- Dimensão Continuidade – Copias de Segurança.
- Dimensão Proteção Técnica.
- Dimensão Classificação da Informação.
Requisito 4: Criptografar a transmissão de dados do titular do cartão em redes abertas e públicas
- Dimensão Proteção Técnica.
- Dimensão Políticas e Normas.
- Dimensão Classificação Informação
Requisito 5: Proteja todos os sistemas contra softwares prejudiciais e atualize regularmente programas ou software de antivírus.
- Dimensão Políticas e Normas.
- Dimensão Proteção Técnica
Requisito 6: Desenvolver e manter sistemas e aplicativos seguros
- Dimensão Políticas e Normas.
- Dimensão Desenvolvimento de Aplicativos
- Dimensão Acesso Informação
- Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)
- Dimensão Classificação da Informação
- Dimensão Proteção Técnica.
Requisito 7: restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio.
- Dimensão Políticas e Normas.
- Dimensão Acesso Informação.
Requisito 8: Identifique e autentique o acesso aos componentes do sistema.
- Dimensão Políticas e Normas
- Dimensão Acesso Informação
- Dimensão Treinamento e conscientização usuários
- Dimensão Classificação Informação
Requisito 9: Restringir o acesso físico aos dados do titular do cartão
- Dimensão Ambiente Físico.
- Dimensão Políticas e Normas.
- Dimensão Classificação da Informação.
- Dimensão Continuidade – Cópias de Segurança
- Dimensão Treinamento e conscientização de usuários.
Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos de rede aos dados do titular do cartão.
- Dimensão Políticas e Normas.
- Dimensão Acesso Informação
- Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)
- Dimensão Proteção Técnica
- Dimensão Continuidade – Cópias de Segurança
Requisito 11: Testar regularmente os sistemas e processos de segurança.
- Dimensão Políticas e Normas.
- Dimensão Gestão de Riscos.
- Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)
- Dimensão Proteção Técnica.
Requisito 12: Mantenha uma política que aborde a segurança da informação para todas as equipes.
- Dimensão Políticas e Normas.
- Dimensão Gestão de Riscos
- Dimensão Acesso Informação
- Dimensão Modelo Operativo – Responsabilidades Segurança Informação
- Dimensão Flexibilidade Operacional (incidentes, Problemas, Mudanças).
- Dimensão Treinamento e conscientização de usuários.
Conclusão
Utilizar o Processo Corporativo de Segurança da Informação garante que a organização possui uma arquitetura de controles que possibilita a implementação estruturada dos Requisitos PCI DSS. Esta arquitetura possibilita identificar o grau de maturidade no atendimento aos controles exigidos e também facilita apresentar para o Corpo Diretivo uma visão de gestão dos controles de segurança que a organização precisa estar em conformidade.
Garantir que a organização atende aos requisitos de segurança da informação exigidos para o alcance dos objetivos corporativos é uma responsabilidade do Gestor de Segurança. Entendemos que quanto mais estruturada for esta abordagem mais chances de sucesso a organização terá para proteger os seus recursos.
Grande abraço.
Edison Fontes, CISM, CISA, CRISC – Coordenador do Comitê de Segurança da Informação da ABSEG.
Estrategista, Consultor e Gestor: Segurança da Informação, Riscos, Continuidade e Combate à Fraude, Compliance. – edison@pobox.com – www.nucleoconsult.com.br