PCI-DSS 3.2.

1
Workshop

1
 Agenda
• Introdução.
• O que é PCI-DSS?
– Por que estou nesta reunião?
– Processo de Certificação
• 12 Requisitos do PCI-DSS

2
 Treinamento PCI DSS 3.2.1

INTRODUÇÃO

3
 Treinamento PCI DSS 3.2.1

PCI-DSS
Payment Card Industry - Data Security Standard

4
 O Que é PCI SSC?
• Payment Card Industry (PCI) Security Standards
Council (SSC) é um fórum mundial aberto destinado
a formulação, melhoria, armazenamento, difusão e
as aplicações permanentes das normas de segurança
para a proteção de dados de cartão.

5
 O Que é PCI SSC?

• Payment Card Industry (PCI) Data Security

Standard (DSS)

– O propósito deste standard é ajudar a organização a

proteger a informação dos clientes e de seus cartões
de crédito e débito.

6
Como funciona o processo de pagamento?
Passo 1: O Cliente paga com Mastercard

O Cliente compra bens/serviços em um comércio.

Passo 2: Autentica-se o pagamento

O sistema de ponto de venda do comércio capta a informação da conta do cliente e de

maneira segura envia ao adquirente.

Passo 3: Envia-se a transação

O Adquirente do comércio solicita a Mastercard a autorização do banco emissor do

cliente.

Passo 4: Solicita-se a autorização

Mastercard enviar a transação ao emissor para que seja autorizado.

Passo 5: Resposta de autorização

O banco emissor autoriza a transação e envia a resposta ao comerciante.

Passo 6: Pagamento ao comerciante

O banco emissor envia o pagamento ao adquirente do comercio, que deposita o

pagamento na conta do comerciante.

7
 Dados de Cartão
(CHD + SAD)

8
 Escopo – onde os requisitos se aplicam?

• Se aplica a todos os componentes do sistema (qualquer

elemento de rede, servidor o aplicação) do entorno dos
dados de cartões (CDE) ou que esteja conectado a este.

• O CDE consta pessoas, processos e tecnologia que

armazenem, processem ou transmitem dados de cartões
ou dados confidenciais de autenticação (SAD).

• O standard cobre vários aspectos de segurança como

controles em políticas, processos, arquitetura de rede,
desenvolvimento de software e outros aspectos críticos
para a segurança dos dados.

9
 Escopo

Processos

Processos:
Pessoas: •Pagamentos
IT, Vendas, •Chargebacks
Finanças,
Call Center
Tecnologia:
CHD + SAD •Servidores
•Dispositivos de
Rede
•Aplicações
•Cloud

Armazena Transmite

10
Porque minha empresa?
Qualquer comércio que processe mais de 6 milhões de transações bancárias durante
o ano ou de maneira global requerem a certificação Nível 1. A qual consiste em:
- Obter um Reporte de Cumprimento (ROC) de um auditor validado por PCI
(QSA) de forma anual.
- Realizar análises de vulnerabilidades por parte de uma entidade certificada
por PCI (ASV) de forma quadrimestral.

Quem determina? Quem o exige?

- O Banco / Adquirente é quem requer o cumprimento para estabelecimentos.
- Para os bancos / adquirentes a demanda de certificação vem das bandeiras (VISA.
MasterCard, American Express, Discover, JBC)

11
Por que cumprir com PCI DSS?

✓ Confiança dos clientes.

✓ Facilita o cumprimento com a legislação, standards
ou Requisitos de segurança e privacidade.
✓ Proteção dos dados pessoais.
✓ Evita perdas financeiras.
✓ Mitiga o risco de fraude.
✓ Oportunidade de Negócios

12
O que acontece se não cumpro?
É possível que o banco adquirente aplique multas até que se efetue o cumprimento.
Isto já aconteceu em USA e outros países da região.

LGPD pode ser agravante para o não cumprimento da norma PCI-DSS.

O que acontece se cumpro?

Em caso de um roubo de informação, o comércio pode não receber multas ou
penalidades se esse se encontrava em cumprimento. Mais importante ainda: estamos
protegendo a informação sensível e confidencial de nossos clientes!

13
 Dados sensíveis a considerar
Dados da conta = (CHD + SAD)
Armazenamento Dados armazenados ilegíveis segundo o
Elemento de Dados
Permitido Requisito 3.4

Número de Conta Principal (PAN) SIM SIM

Nome do Titular do Cartão SIM NÃO

Dados do Titular
Dados da Conta

do Cartão
Código de Serviço SIM NÃO

Data de Vencimento SIM NÃO

Conteúdo completo da faixa NÃO Não se pode armazenar, segundo o Requisito 3.2
Dados
Confidenciais de CAV2/CVC2/CVV2/CID NÃO Não se pode armazenar, segundo o Requisito 3.2
Autenticação
PIN/Bloqueio de PIN NÃO Não se pode armazenar, segundo o Requisito 3.2

14
 Treinamento PCI DSS 3.2.1

POR QUE ESTOU NESTA REUNIÃO?

15
Porque sua área esta envolvida em algum dos seguintes aspectos:

De forma direta no Processamento, Armazenamento, ou Transferência de

dados de portadores de cartão (CHD)

- Áreas que controlam as operações de comércios (Manuseio de métodos de

pagamento com cartão presente ou não presente)

- Áreas que se envolvem nos processos de Liquidação, compensação e

chargeback (Contato com adquirente)

16
Por que estou nesta reunião?

Porque sua área esta envolvida em algum dos seguintes aspectos:

- Áreas que gerenciam a tecnologia, que processa, armazena ou transfere os
dados de portadores de cartão (Sistemas).
- Área encarregada em segurança da informação.
- Área encarregada em segurança física.
- Área encarregada na contratação e treinamento do pessoal que se envolve em
alguma das áreas que processe, armazene ou transfira dados de portadores de
cartão (Treinamentos, Recursos Humanos)
- Área encarregada da gestão de Provedores ( e os provedores) que puderem
influenciar ou interagir com qualquer uma das áreas mencionadas.

17
 Treinamento PCI DSS 3.2.1

Os 12 requisitos

18
Requisitos do PCI DSS v3.2.1
Desenvolver e manter sistemas e redes seguros

• Req. 1: Instale e mantenha uma configuração de firewalls para proteger os dados dos titulares dos cartões
• Req. 2: Não utilizar senhas de sistemas e outros parâmetros de segurança previstos pelos provedores

Proteger os dados do titular do cartão

• Req. 3:Proteja os dados do titular do cartão que foram armazenados

• Req. 4:Criptografar a transmissão dos dados do titular do cartão nas redes públicas abertas.

Manter um programa de administração de vulnerabilidade

• Req. 5: Proteger todos os sistemas contra malware e atualizar os programas ou software antivírus regularmente.
• Req. 6: Desenvolva e mantenha sistemas e aplicações seguras

Implementar medidas sólidas de controle de acesso

• Req. 7: Restringir o acesso aos dados do titular do cartão segundo a necessidade de saber que tenha a empresa.
• Req. 8: Identificar e autenticar o acesso aos componentes do sistema.
• Req. 9: Restringir o acesso físico aos dados do titular do cartão

Monitorar e avaliar as redes com regularidade

• Req. 10: Rastreie e supervisione todos os acessos aos recursos de rede e aos dados dos titulares de cartões
• Req. 11: Teste com regularidade os sistemas e processos de segurança.

Manter uma política de segurança de informação

• Req. 12: Manter uma política que aborde a segurança da informação de todo o pessoal

19
Requisito 1
1.1 Normas de configuração para firewalls e roteadores:
– Ter um diagrama de rede atualizado
– Ter diagramas de fluxos de dados de portadores de cartão
– Configuração de portas, serviços e protocolos seguros, não utilizar:
• FTP, Telnet, POP3, SSL, IMAP, SNMP V1 e V2
– Instalar FW entre Internet, DMZ e rede interna

1.2 Restringir as conexões entre rede não confiáveis e

qualquer componente de sistema em CDE.
– Restrinja o tráfico de entrada e saída ao CDE.
– Sincronização de arquivos de configuração de roteadores.
– Instalar firewall entre Wireless e CDE

20
Requisito 1
1.3 Proíba o acesso direto público entre
Internet e o CDE
– Implemente DMZ
– Usar NAT

1.4 Utilizar firewall pessoal

– Funcionando ativamente
– Não pode ser alterado pelos usuários comuns.

1.5 Políticas para gestão de firewalls

21
Requisito 2
2.1 Altere os valores predeterminados pelo terceiro TYPICAL DEFAULT
PASSWORDS THAT MUST BE
– Remova ou desabilite contas default CHANGED
[none]

– Não usar senhas predeterminadas

[name of product / vendor] 1234
or 4321
access
admin anonymous database
guest
manager
2.2 Desenvolva normas de configuração para todos os pass
password

componentes de sistemas. Assegure-se de que estas root

sa

normas contemplem todas as vulnerabilidades de

secret
sysadmin
user
segurança conhecidas e que concordem com as normas
de alta segurança de sistema aceitadas na indústria.
– Implemente somente uma função principal por servidor
– Elimine todas as funcionalidades desnecessárias

22
Requisito 2
2.3 Criptografe todo o acesso administrativo
que não seja de console utilizando uma
criptografia sólida.
– Utilize tecnologias como SSH, VPN o TLS

2.4 Mantenha um inventário dos componentes

de sistema que estão dentro do alcance do
PCI DSS.

2.5 Políticas para gerenciar parâmetros de

segurança e outros valores por default dos
fabricantes.

23
Requisito 3
3.1 Armazene a menor quantidade possível de dados do titular do cartão
– Implementar políticas e processos de retenção e eliminação de CHD

3.2 Não armazene dados confidenciais de autenticação depois da

autorização (mesmo se eles estiverem criptografados).
– Se dados de autenticação confidenciais são recebidos, remova todos eles ao finalizar
o processo de autorização.
– SAD só pode ser armazenamento se a empresa é emissora;

3.3 e 3.4 Proteja o PAN (número do cartão)

– Os primeiros seis e os últimos quatro dígitos é a quantidade máxima de dígitos que
aparecerá.
– Somente o pessoal com uma necessidade comercial legítima pode ver o PAN
(número de conta principal) completo.
– Mascare ou ofusque o PAN quando se exibido

24
 Requisito 3
3.5 Documente e implemente procedimentos que protejam as chaves
utilizadas para proteger os dados CHD
– Restrinja o acesso as chaves criptográficas a menor quantidade de
custódios necessários.
– Guarde as chaves criptográficas no menor número de lugares possível.

3.6 Gestão de chaves

– Geração, distribuição e armazenamento seguro de chaves criptografadas

3.7 Políticas para proteger dados de portadores de cartão armazenados

25
Requisito 4
4.1 Transmissão criptografada de CHD em redes públicas e sem fio
– Identificação de todos os locais onde se transmite ou recebam CHD
– Utilize criptografia sólida (TLS, IPSEC, SSH, etc.)
– Transmissão criptografada em redes sem fio (WPA 2)

4.2 Nunca deve-se enviar PAN não criptografado por meio de

tecnologias de mensageria de usuário final (correio eletrônico,
mensageira instantânea, chat, etc.).
– E-mail seguro

4.3 Política para criptografar as transmissões de dados de

portadores de cartão

26
Requisito 5
5.1 Implemente um antivírus
– Windows;
– E Linux?
– Análises de ameaças de malware para os sistemas que são considerados
como não afetados comumente por software malicioso

5.2 Qualidade da instalação:

– Antivírus atualizado em servidores e PC’s
– Realizando análises periódicas, que gere registros/logs.

5.3 Assegure-se de que os mecanismos de antivírus funcionem

ativamente
– Antivírus não pode desabilitado

5.4 Política para proteger os sistemas contra malware

27
Requisito 6
6.1 Identificação de vulnerabilidades
– Atribua uma classificação de risco (por exemplo, “alto”, “médio” ou
“baixo”)
– Ou use a do próprio fabricante de software

6.2 Instalar patches de segurança

– Instale os patches críticos de segurança dentro de 1 mês de seu
lançamento
– Os demais patches de segurança em um prazo de 3 meses

6.3 Desenvolva aplicações seguras de software internas e externas

– Elimine as contas de desenvolvimento, teste e de aplicações
personalizadas, os ID de usuário e as senhas
– Revise o código personalizado antes de enviá-lo a produção

28
Requisito 6
6.4 Siga os procedimento de controle de mudanças:
– Separação de escopo e funções entre os ambientes de desenvolvimento/teste e produção
– Dados de produção não podem ser utilizados para desenvolvimento
– Eliminação de dados e contas de teste antes de mover para produção

6.5 Aborde as vulnerabilidades de codificação nos processos de desenvolvimento de

software.
– Capacitação aos desenvolvedores
– OWASP Top 10
– Ter práticas de codificação para proteger antes da autenticação e administração de sessão
interrompida.

6.6 Para aplicações web públicas

– Utilizar WAF;

6.7 Políticas para desenvolver e manter sistemas seguros e aplicações

29
 Requisito 7
7.1 Limite o acesso ao CDE:
– Documentar as necessidades de acesso de cada função
– Gestão de usuários e privilégios
– Solicite a aprovação documentada das partes autorizadas para a concessão
de acesso.

7.2 Evite escalação de privilégios:

– Configuração predeterminada de “negar todos”.

7.3 Políticas para restringir acesso a dados de portadores

de cartão

30
Requisito 8
8.1 Políticas e procedimentos para garantir a correta
administração de identificação de usuários
– Atribua a todos os usuários um ID exclusivo
– Cancele de imediato o acesso de qualquer usuário
desligado;
– Administre os ID de provedores

8.2 Autenticação
– Usar ao menos:
• Algo que conhece (senha fortes)
• Algo que tenha (token ou cartão inteligente)
• Algo que seja (biométrico)

8.3 Múltiplos fatores em acessos remotos

31
Requisito 8
8.4 Documente e comunique os procedimentos e as politicas de
autenticação a todos os usuários

8.5 Não utilize ID senhas de grupo, compartilhadas, ou genéricas.

– Provedores de serviço com autenticação única

8.6 Nenhum mecanismo de autenticação deve ser compartilhado;

8.7 Restrição de acesso ao Banco de dados;

8.8 Políticas para identificação e autenticação

32
Requisito 9
9.1 Utilize controles de acesso físico nas entradas e saídas ao CDE
– Controles de segurança física (ID, Câmeras)
– As câmeras de vídeo se armazena, ao menos, durante três meses.

9.2 Procedimentos que permitam distinguir, facilmente, os empregados

dos visitantes.

9.3 Controle o acesso físico dos empregados as áreas confidenciais.

– Processo para autorizar o acesso e revogar o acesso imediatamente depois da
finalização.

9.4 Implemente procedimentos para identificar e autorizar os visitantes.

– Implemente um registro de visitantes para registrar o acesso físico as instalações
e que se se conserve durante, ao menos, três meses.

9.5 Proteja fisicamente todos as mídias.

– Armazene os meios de copias de segurança em um lugar seguro

33
Requisito 9
9.6 Distribuição segura das mídias

9.7 Resguardo seguro das mídias

9.8 Destruição segura das mídias

9.9 Proteja os dispositivos (POS) para proporcionar proteção contra alterações e

substituições.

9.10 Políticas para a restrição de acesso físico aos dados de portadores de cartão.

34
Requisito 10

10.2 e 10.3 Implemente trilhas de auditoria.

– O que foi feito –em qual objeto
– Quando?
– Onde?
– Por quem?
– Foi completado com sucesso ou com falha?

10.4 Sincronização dos relógios de sistema

- Servidor de NTP Interno

35
Requisito 10

10.5 Proteção de registros

10.6 Revisão dos registros de auditoria

10.7 Retenção de logs (9 meses off-Line e 3

meses on-line)

10.8 Políticas e procedimentos

36
Requisito 11
11.1 Implemente processos para determinar a presença de pontos de
acesso sem fio, ao menos, trimestralmente

11.2 Realize análises internas e externas das vulnerabilidades da rede,

ao menos, trimestralmente

11.3 Realize pentests:

- Internos
- Externos
- Segmentação
- Aplicação
11.4 Usar IPS / IDS para detectar ou prevenir intrusões na rede.

37
Requisito 11
11.5 Implemente um mecanismo de detecção de mudanças
– Realizar comparações ao mínimo semanalmente;

11.6 Políticas para o monitoramento e provas de segurança

38
Requisito 12
12.1 Estabeleça, publique, mantenha e distribua uma política de segurança.

12.2 Implemente um processo de avaliação de riscos.

12.3 Desenvolva políticas de uso para as tecnologias críticas e defina como usá-las
corretamente.

12.4 Assegure-se de que as políticas e os procedimentos de segurança definam, claramente,

as responsabilidades de segurança da informação, de todo o pessoal.*
- A alta direção deve eleger responsáveis pelo programa PCI e uma forma de comunicação
com a alta direção.

12.5 Due Diligence e Due care do programa de conformidade.

39
Requisito 12

12.6 Treinamento anual de pessoal

12.7 Examine o pessoal potencial antes de contrata-lo afim de minimizar o risco de ataques
desde fontes internas.

12.8 Gestão de provedores e contratos

12.9 Os provedores de serviços devem aceitar, por escrito, responsabilizam-se da segurança

dos dados CHD.

12.10 Gestão de incidentes

12.11 Revisão trimestral operativa de controles operativos e evidencias de seu funcionamento.

40
 Perguntas

41