Paulo Sant’anna recebe William Caprino, Diretor Comercial Estatutário da Clavis Segurança da Informação, para uma conversa sobre o PCI. Ao longo da conversa, foi possível discutir diversos aspectos do gerenciamento de vulnerabilidades e a importância de manter um sistema de gerenciamento contínuo de vulnerabilidades.
O que é o PCI Security Standards e quando foi criado?
Willian explica que não existia nenhum padrão de segurança para a indústria de meios de pagamento, cada bandeira possuía as suas próprias regras, muito parecidas umas com as outras. Então em 2006, Visa, Mastercard, American Express e outras bandeiras optaram por fundar o PCI e criaram o padrão único de segurança para meios de pagamento, conhecido popularmente como PCI-DSS.
Quais são as vantagens?
Caprino diz que estar em conformidade com as regras de segurança do PCI evita a possibilidade de vazamento de dados de cartões e consequentemente, transações fraudulentas.
Quem deve atender esses requisitos?
Qualquer empresa que tenha acesso as informações de cartão de crédito, como lojas, gateways de pagamento e outros devem seguir os requisitos de segurança estabelecidos pelo PCI. Anualmente é requerido dessas empresas a validação se estão em conformidades com as normas.
Quais são os 12 requerimentos do PCI?
Caprino comenta que há 6 grandes grupos de requerimentos: Construir e manter uma rede segura, proteção dos dados do portador do cartão, gerenciamento de vulnerabilidades, controle de acesso, monitoramento e testes de rede e por ultimo a parte de políticas de segurança, tudo devidamente documentado.
É claro que o fato de atender todos os itens requeridos pela norma (estar em conformidade) não é sinônimo de estar seguro, outros itens do ambiente não descritos pelo PCI podem ser uma porta de entrada para ataques, por isso a necessidade diária de gerenciamento contínuo de vulnerabilidades, monitoramento de redes e resposta a incidentes.
Outro item importante refere-se ao desenvolvimento seguro das aplicações que lidam com os cartões de crédito, item já tratado no SegInfocast #32
Para ajudar as empresas a atenderem os requisitos do PCI, a Clavis oferece uma série de serviços e produtos como o Octopus, que acompanha e monitora os acessos aos recursos de rede, o BART, trata de gerenciamento de vulnerabilidades e testes de invasão que atende a alguns requerimentos do PCI.
Willian Caprino, Diretor Comercial Estatutário da Clavis Segurança da Informação, tem experiência de mais de 20 anos na área de TI. É co-fundador da ioPublishing, empresa de produção de conteúdo para a Internet, organizou o livro “Trilhas em Segurança da Informação – Caminhos e Ideias para a Proteção de Dados” e também é um dos organizadores dos eventos de segurança da informação: You Shot The Sheriff e Silver Bullet.
