E Agora Que?: Entendendo A Conformidade Com O Padrão PCI DSS V2 Com EnCase – Parte II


No primeiro post desta série de três partes, lidamos com as bases do Padrão De Segurança De Dados da Indústria De Cartões de Pago (PCI DSS). Aprendemos sobre os diversos tipos de organizações que precisam cumprir os padrões PCI DSS e olhamos em detalhe aos requisitos de conformidade que uma organização deve seguir para o armazenamento, processamento e transmissão dos dados dos cartões de crédito. 

Ainda mais importante, aprendemos onde se aplicam os padrões PCI DSS. Esta aplicabilidade merece ser repetida neste post: 

O número de conta principal (PAN) é o fator determinante na aplicabilidade dos requisitos do PCI DSS e do PA-DSS. Os requisitos PCI DSS são aplicáveis se um número de conta principal (PAN) é armazenado, processado ou transmitido. Se um PAN não é armazenado, processado nem transmitido, os padrões PCI DSS e PA-DSS não aplicam. 


Neste segundo post, veremos como EnCase eDiscovery combinado com EnCase Enterprise podem ajudar organizações que processam dados de contas, provedores de serviço e revendedores/desenvolvedores de software a fazer auditorias de primeira parte apara assegurar-se  que o seu software de processamento de cartões cumpre com o PCI DSS. Lembre-se que EnCase Enterprise está incluído com EnCase eDiscovery. 

Agora vejamos a primeira seção dos padrões de conformidade nos quais EnCase pode ajudar estes vários tipos de organizações. Novamente, veremos os requisitos específicos com um enfoque “padrão por padrão”. 

Requisitos*
Procedimentos de Avaliação*
Como EnCase Pode Ajudar

2.1


Requisitos do PCI PA-DSS

O fornecedor do software deve oferecer orientações a clientes sobre o expurgo de dados do portador do cartão após o vencimento do período de retenção definido pelo cliente.
Procedimentos de Teste

Revise o Guia de Implementação do PA-DSS preparado pelo fornecedor e verificação se a documentação inclui as seguintes orientações para clientes e revendedores/integradores:

-Exclusão dos dados do portador do cartão que excedem o período de retenção definido pelo cliente.
- Uma lista com todos os locais onde o aplicativo de pagamento armazena dados do portador do cartão (para que o cliente saiba os locais dos dados que precisam ser excluídos).
Como EnCase Pode Ajudar

EnCase eDiscovery pode fazer auditorias remotas de todos os hosts através da organização para encontrar qualquer dado dum titular de cartão como definido e coberto pelo padrão PCI associado com transações tais como:

- Números De Contas
- Números de Serviço 
- PINs 

EnCase pode auditar em quase qualquer sistema operativo moderno (Windows, Linux, Mac) e também dispositivos que suportam um agente para buscar arquivos, historiais e memórias de registro (logs). EnCase eDiscovery também tem funcionalidade OCR para buscar dados de titulares de cartões em capturas de tela, outros tipos de imagens e também PDFs.

EnCase também pode validar que os dados de titulares de cartões não esteja armazenada, processada nem tenha sido transmitida em qualquer outro lugar da organização.
2.3


Requisitos do PCI PA-DSS

Converta o PAN como ilegível em qualquer local onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de back-up, em registros), utilizando qualquer uma das seguintes abordagens:
- Referências únicas com base na criptografia robusta (o hash deve ser de todo o PAN)
- Truncamento (a codificação hash não pode ser usada para substituir o segmento truncado do PAN)
- Tokens e blocos de índice (os blocos devem ser armazenados de forma segura)
- Criptografia robusta com processos e procedimentos de gerenciamento - chave associados
Procedimentos de Teste

2.3.c
Se o aplicativo criar ou gerar arquivos para o uso em outros aplicativos (por exemplo, arquivos gerados para exportação ou backup), inclusive para armazenamento em mídias removíveis, examine uma amostra de arquivos gerados, inclusive aqueles gerados em mídias removíveis (por exemplo fitas de backup), para confirmar que o PAN foi convertido ilegível.

2.3.d
Examine uma amostra de logs de auditoria criados ou gerados pelo aplicativo para confirmar que o PAN foi convertido ilegível ou removido dos logs.

2.3.e
Se o fornecedor do software armazenar o PAN por qualquer motivo (por exemplo, porque arquivos de log, arquivos de depuração e outras origens de dados são recebidas de clientes para fins de depuração e resolução de problemas), verifique se o PAN é convertido como ilegível de acordo com os Requisitos 2.3.a até o 2.3.d do PCI DSS acima
Como EnCase Pode Ajudar

EnCase eDiscovery pode auditar e validar a conformidade (Compliance) em qualquer arquivo criado pelo sistema de pago e exportado ou copiado por propósitos de segurança. Isto inclui cópias de arquivos que possam ter sido guardadas em mídias removíveis ou transmitidas a outros lugares da organização.

EnCase também pode validar que o uso do número de conta principal dos clientes pela organização se mantenha em conformidade durante a resolução de problemas.
2.5


Requisitos do PCI PA-DSS

O aplicativo de pagamento deve proteger as chaves de criptografia utilizadas para criptografia de dados do portador do cartão em relação a divulgações ou mau uso.
Procedimentos de Teste

2.5.b
Analise os arquivos de configuração do sistema para verificar se as chaves estão armazenadas no formato criptografado e se as chaves de criptografia de chaves estão armazenadas separadamente das chaves de criptografia de dados.
Como EnCase Pode Ajudar

EnCase pode auditar o output de qualquer pedido de pagamento ou buscar estes dados em arquivos de registro (logs), historiais e memórias para assegurar-se de que a informação se mantenha criptografada em conformidade com o padrão PCI DSS
2.7


Requisitos do PCI PA-DSS

Converta o material da chave irrecuperável ou qualquer material criptografado armazenado por versões anteriores do aplicativo de pagamento, de acordo com os padrões aceitos pelo setor. Essas são as chaves criptográficas utilizadas para criptografar ou verificar os dados do portador do cartão.
Procedimentos de Teste

2.7.c
Verificar, por meio do uso de ferramentas e/ou métodos forenses, se a ferramenta de limpeza segura ou procedimento converte o material criptográfico em irrecuperável, de acordo com os padrões aceitos pelo setor
Como EnCase Pode Ajudar

EnCase eDiscovery pode verificar que os dados hajam sido eliminados de maneira segura do sistema a nível forense, em conformidade com os padrões mais rigorosos. EnCase, na sua forma combinada de licenciamento de EnCase eDiscovery e EnCase Cybersecurity, pode realizar estas eliminações por si próprio. 

Note que o padrão cita especificamente o uso de uma ferramenta forense como EnCase.







* Copyright 2008-2010, PCI Security Standards Council LLC (Português: https://www.pcisecuritystandards.org/documents/pa-dss_pt-br_v2.pdf)
 
Na terceira parte desta série, veremos o último grupo de requisitos de conformidade PCI e a próxima versão do padrão de conformidade PCI (versão 3) que será lançada em novembro de 2013. A intenção desta série é ajudar às organizações a entender como EnCase pode reduzir a complexidade da conformidade com o padrão PCI e ajudar com a execução prática destes requisitos. 

-     T. Grey, Engenheiro De Vendas Para A América Latina, Guidance Software


Se você quiser uma demonstração de como EnCase pode ajudá-lo com o cumprimento de padrões (Compliance), combate ao fraude e resposta a incidentes de malware, não duvide em contatar nossa equipe de vendas no e-mail sales-LatAm@encase.com

RELACIONADOS





-      

No comments :

Post a Comment