Após uma série de problemas de segurança e vazamentos de informações de cartões de crédito no início dos anos 2000, várias empresas se juntaram em um Consórcio para trabalhar em uma possível solução. Por isso, em 2006, as maiores empresas do ramo de cartão de crédito se uniram e formaram o PCI-SSC (Payment Card Industry Security Standards Council), em português, Padrão de Segurança de Dados da Indústria de Pagamento com Cartão.
Você pode ouvir a nossa versão em áudio deste artigo:
Trata-se de um conjunto de requerimentos e procedimentos de segurança que visam proteger as informações pessoais dos titulares de cartões e, com isso, reduzir o risco de fraudes. Ou seja, o PCI-SSC tem como base a criação de uma base sólida para aumentar a segurança em todo o ciclo de uso dos cartões.
Desde então, temos evoluído nas práticas e documentações que dão suporte a este ecossistema. Toda esta documentação pode ser baixada de forma gratuita.
Atualmente ele está na versão 3.2.1, que foi lançada em maio de 2018, e conta hoje com 12 requisitos que são validados para que as empresas que desejam exibir o selo de “PCI-DSS Compliance”.
O maior objetivo do padrão é se tornar um meio que possa ajudar a aumentar a segurança dos dados das transações financeiras feitas por meio de cartões de crédito.
O objetivo é criar e manter uma base de melhores práticas que possa ajudar a manter um nível de segurança aceitável.
Qual o objetivo do PCI-DSS
Muitos ainda acreditam que as definições de segurança do PCI-DSS apenas são aplicadas às operações financeiras. No entanto, existem muitas outras definições que devem ser aplicadas a outras áreas da cadeia de uso de um cartão de crédito, passando do pagamento online até a produção e registro de chaves criptografadas em equipamentos de vendas – os chamados POS – ou as maquininhas de cartão.
De acordo com o documento oficial do PCI-DSS, este objetivo é claramente colocado como uma tentativa de criação de um padrão global de melhores práticas a serem aplicadas:
“O PCI DSS foi desenvolvido para incentivar e aprimorar a segurança dos dados do titular do cartão e facilitar a ampla adoção de medidas consistentes de segurança de dados em todo o mundo. O PCI DSS fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger os dados da conta”.
Há um total de 12 requisitos no PCI-DSS, e destes, a Conviso, enquanto especialista em segurança de software, tem expertise e know how para atuar em dois.
Requisito 6
O Requisito 6 do PCI-DSS fala diretamente em desenvolver e manter aplicações e sistemas seguros. Este é o nosso foco, é o que, na Conviso, nós fazemos melhor!
Quando olhamos o objetivo geral do Requisito 6, vemos que, neste ponto, os criadores do padrão tentaram mostrar que todos os aplicativos e sistemas – tanto os desenvolvidos internamente quanto externamente – precisam receber o mesmo nível de atenção.
O Requisito 6 vai nos apresentar necessidades e atividades que devem ser realizadas para todos os agentes envolvidos com o processo de dados de cartão, e além disso, estes agentes devem garantir que todos os sistemas e aplicativos estão em conformidade com as recomendações do Requisito 6.
Ele é formado por vários subitens que vão desde o item 6.1 até o item 6.7, sendo um dos itens mais conhecidos, o que trata sobre a necessidade de tratamento de vulnerabilidades mais conhecidas, que começa no item 6.5.
Para este item em particular, caso o leitor queira se aprofundar mais, uma lida em materiais referentes à OWASP TOP 10 e SANS TOP 25 pode ser uma ótima forma de já ir buscando mais informações.
O item 6 exige a contínua execução de treinamentos com o objetivo de manter atualizados todos os envolvidos no processo de desenvolvimento de aplicações que darão suporte às operações que irão tratar, armazenar e transmitir dados de cartão de crédito.
Como a Conviso pode ajudar com o PCI-DSS
Na Conviso, acreditamos muito que a educação e aquisição de conhecimento continuada seja um fator chave para o crescimento e para a melhoria contínua em muitos aspectos de um profissional e, consequentemente, de um produto ou serviço.
Neste sentido, temos publicado vários artigos em nosso blog que buscam mostrar a importância dos treinamentos, e como estes não devem ser encarados como custo, e sim, como investimentos.
Já ajudamos muitos de nossos clientes a treinarem suas equipes, mantendo o conhecimento sempre atualizado de acordo com os últimos tipos de vulnerabilidades, ataques e formas de correção.
Investir em treinamento é a forma mais segura e simples de manter e garantir que todos os esforços necessários para a proteção de aplicações está sendo empregado no processo de desenvolvimento.
Para quem deseja mais informações e detalhes de como a segurança de aplicações é impactada, a sugestão é que confira o material referente à PCI Software Security Framework.
Confira nossos artigos sobre a importância de treinamentos
Requisito 11
Tendo sua equipe treinada, agora precisamos garantir que todos os nossos sistemas e aplicações estão realmente conforme o descrito no documento do PCI-DSS.
O Requisito 11 é onde o PCI-DSS deixa clara a necessidade de validação de estrutura e aplicações, de forma a garantir que tudo que corresponde à estrutura de suporte à guarda, armazenamento e processamento dos dados do cartão estão realmente de acordo com as melhores práticas.
Então, é no Requisito 11 que há a obrigatoriedade de testar a segurança tanto de processos quanto de sistemas. E ele vai desde o item 11.1 até o item 11.6.
Nestes itens estão descritas as necessidades para testes de aplicações de suporte quanto também de testes de estruturas de suporte, como redes lógicas ethernet e wifi.
Uma das partes mais conhecida desta fase é a execução de testes de intrusão (Pentest). E sobre este tema temos falado bastante aqui no blog, e recomendamos a leitura destes artigos como um complemento no processo de entendimento.
A importância da execução de testes
A execução de pentests é uma das especialidades de nossos analistas, que contam com grande experiência nesse tipo de teste.
Hoje executamos testes para grandes empresas do mercado e ajudamos a adequar e ajustar as necessidades destes clientes ao exigido pelo PCI-DSS.
Não devemos e nem podemos esquecer que novas vulnerabilidades são descobertas todos os dias e devemos ter um planejamento periódico para a realização de testes que possam vir a garantir a segurança de nossas aplicações e estrutura de suporte.
Não podemos relaxar e imaginar que, ao realizarmos testes anuais, estaremos seguros.
É necessário compreender que a execução de testes mais periódicos, e também a execução de um processo de desenvolvimento estruturado, com o pensamento de segurança implementado, é o que pode trazer mais segurança a todo o processo.
