No primeiro post desta série de três partes, lidamos com as bases do Padrão De Segurança De Dados da Indústria De Cartões de Pago (PCI DSS). Aprendemos sobre os diversos tipos de organizações que precisam cumprir os padrões PCI DSS e olhamos em detalhe aos requisitos de conformidade que uma organização deve seguir para o armazenamento, processamento e transmissão dos dados dos cartões de crédito.
Ainda mais importante, aprendemos onde se aplicam os padrões PCI DSS. Esta aplicabilidade merece ser repetida neste post:
O número de conta principal (PAN) é o fator determinante na aplicabilidade dos requisitos do PCI DSS e do PA-DSS. Os requisitos PCI DSS são aplicáveis se um número de conta principal (PAN) é armazenado, processado ou transmitido. Se um PAN não é armazenado, processado nem transmitido, os padrões PCI DSS e PA-DSS não aplicam.
Neste segundo post, veremos como EnCase eDiscovery combinado com EnCase Enterprise podem ajudar organizações que processam dados de contas, provedores de serviço e revendedores/desenvolvedores de software a fazer auditorias de primeira parte apara assegurar-se que o seu software de processamento de cartões cumpre com o PCI DSS. Lembre-se que EnCase Enterprise está incluído com EnCase eDiscovery.
Agora
vejamos a primeira seção dos padrões de conformidade nos quais EnCase pode
ajudar estes vários tipos de organizações. Novamente, veremos os requisitos específicos
com um enfoque “padrão por padrão”.
Requisitos*
|
Procedimentos de Avaliação*
|
Como EnCase Pode Ajudar
|
2.1
|
||
Requisitos do PCI PA-DSS
O fornecedor do software deve oferecer orientações a
clientes sobre o expurgo de dados do portador do cartão após o vencimento do
período de retenção definido pelo cliente.
|
Procedimentos
de Teste
Revise
o Guia de Implementação do PA-DSS preparado pelo fornecedor e verificação se
a documentação inclui as seguintes orientações para clientes e
revendedores/integradores:
-Exclusão
dos dados do portador do cartão que excedem o período de retenção definido
pelo cliente.
-
Uma lista com todos os locais onde o aplicativo de pagamento armazena dados
do portador do cartão (para que o cliente saiba os locais dos dados que
precisam ser excluídos).
|
Como
EnCase Pode Ajudar
EnCase
eDiscovery pode fazer auditorias remotas de todos os hosts através da
organização para encontrar qualquer dado dum titular de cartão como definido
e coberto pelo padrão PCI associado com transações tais como:
EnCase
pode auditar em quase qualquer sistema operativo moderno (Windows, Linux,
Mac) e também dispositivos que suportam um agente para buscar arquivos,
historiais e memórias de registro (logs). EnCase eDiscovery também tem
funcionalidade OCR para buscar dados de titulares de cartões em capturas de
tela, outros tipos de imagens e também PDFs.
EnCase
também pode validar que os dados de titulares de cartões não esteja
armazenada, processada nem tenha sido transmitida em qualquer outro lugar da
organização.
|
2.3
|
||
Requisitos do PCI PA-DSS
Converta o PAN como ilegível em qualquer local onde
ele esteja armazenado (inclusive em mídia digital portátil, mídia de back-up,
em registros), utilizando qualquer uma das seguintes abordagens:
- Referências únicas com base na criptografia
robusta (o hash deve ser de todo o PAN)
- Truncamento (a codificação hash não pode ser usada
para substituir o segmento truncado do PAN)
- Tokens e blocos de índice (os blocos devem ser
armazenados de forma segura)
- Criptografia robusta com processos e procedimentos
de gerenciamento - chave associados
|
Procedimentos
de Teste
2.3.c
Se
o aplicativo criar ou gerar arquivos para o uso em outros aplicativos (por
exemplo, arquivos gerados para exportação ou backup), inclusive para
armazenamento em mídias removíveis, examine uma amostra de arquivos gerados,
inclusive aqueles gerados em mídias removíveis (por exemplo fitas de backup),
para confirmar que o PAN foi convertido ilegível.
2.3.d
Examine
uma amostra de logs de auditoria criados ou gerados pelo aplicativo para
confirmar que o PAN foi convertido ilegível ou removido dos logs.
2.3.e
Se
o fornecedor do software armazenar o PAN por qualquer motivo (por exemplo,
porque arquivos de log, arquivos de depuração e outras origens de dados são
recebidas de clientes para fins de depuração e resolução de problemas),
verifique se o PAN é convertido como ilegível de acordo com os Requisitos
2.3.a até o 2.3.d do PCI DSS acima
|
Como
EnCase Pode Ajudar
EnCase
eDiscovery pode auditar e validar a conformidade (Compliance) em qualquer
arquivo criado pelo sistema de pago e exportado ou copiado por propósitos de
segurança. Isto inclui cópias de arquivos que possam ter sido guardadas em
mídias removíveis ou transmitidas a outros lugares da organização.
EnCase
também pode validar que o uso do número de conta principal dos clientes pela
organização se mantenha em conformidade durante a resolução de problemas.
|
2.5
|
||
Requisitos do PCI PA-DSS
O aplicativo de pagamento deve proteger as chaves de
criptografia utilizadas para criptografia de dados do portador do cartão em
relação a divulgações ou mau uso.
|
Procedimentos
de Teste
2.5.b
Analise
os arquivos de configuração do sistema para verificar se as chaves estão
armazenadas no formato criptografado e se as chaves de criptografia de chaves
estão armazenadas separadamente das chaves de criptografia de dados.
|
Como
EnCase Pode Ajudar
EnCase
pode auditar o output de qualquer pedido de pagamento ou buscar estes dados
em arquivos de registro (logs), historiais e memórias para assegurar-se de
que a informação se mantenha criptografada em conformidade com o padrão PCI
DSS
|
2.7
|
||
Requisitos do PCI PA-DSS
Converta o material da chave irrecuperável ou
qualquer material criptografado armazenado por versões anteriores do
aplicativo de pagamento, de acordo com os padrões aceitos pelo setor. Essas
são as chaves criptográficas utilizadas para criptografar ou verificar os
dados do portador do cartão.
|
Procedimentos
de Teste
2.7.c
Verificar,
por meio do uso de ferramentas e/ou métodos forenses, se a ferramenta de
limpeza segura ou procedimento converte o material criptográfico em
irrecuperável, de acordo com os padrões aceitos pelo setor
|
Como
EnCase Pode Ajudar
EnCase
eDiscovery pode verificar que os dados hajam sido eliminados de maneira
segura do sistema a nível forense, em conformidade com os padrões mais
rigorosos. EnCase, na sua forma combinada de licenciamento de EnCase
eDiscovery e EnCase Cybersecurity, pode realizar estas eliminações por si
próprio.
Note
que o padrão cita especificamente o uso de uma ferramenta forense como
EnCase.
|
Na terceira
parte desta série, veremos o último grupo de requisitos de conformidade PCI e a
próxima versão do padrão de conformidade PCI (versão 3) que será lançada em novembro
de 2013. A intenção desta série é ajudar às organizações a entender como EnCase
pode reduzir a complexidade da conformidade com o padrão PCI e ajudar com a
execução prática destes requisitos.
-
T.
Grey, Engenheiro De Vendas Para A América Latina, Guidance Software
Se você
quiser uma demonstração de como EnCase pode ajudá-lo com o cumprimento de
padrões (Compliance), combate ao fraude e resposta a incidentes de malware, não
duvide em contatar nossa equipe de vendas no e-mail sales-LatAm@encase.com
RELACIONADOS
Quando Processos Antigos Se Encontram Com Novas Tecnologias
Grupo de LinkedIn: Usuários do EnCase - Português
Grupo de LinkedIn: Usuários do EnCase - Português
-
No comments :
Post a Comment