Skip to content
16/01/2014 / Danresa Consultoria de Informática

Empresas e PCI-DSS

Leis federais e estaduais, bem como as regulamentações da indústria, são os principais motores da indústria de segurança e nenhum é provavelmente de longo alcance e controverso do que o Payment Card Industry Data Security Standard (PCI DSS) .

Fortinet fornece uma visão geral do PCI DSS e o que você precisa saber sobre o presente regulamento.

PCI DSS

Por que isso é importante. que torna PCI DSS tão importante é que ela afeta todos os comerciantes que aceitam cartões de crédito / débito para pagamento. Níveis de cumprimento podem variar, dependendo do tamanho e o alcance do comerciante. Por exemplo, os comerciantes Nível I (existem 4 níveis) são aqueles que processam mais de 6 milhões de transações de cartões de crédito por ano. Eles têm o mais alto padrão de conformidade para atender, inclusive varreduras de rede trimestrais por um Assessor de Segurança Qualificado. Outros comerciantes, dependendo do volume de suas transações de cartão de crédito, só podem ter que se submeter a uma revisão uma vez por ano. A execução é feita pelo fornecedor do cartão de crédito e não pelo Conselho PCI ou qualquer outra agência de aplicação da lei. As violações vão desde multas até potencialmente perder a capacidade de processar transações de cartão de crédito.

O que ele faz. O principal objetivo do PCI DSS é o de proteger os dados dos portadores de cartões. Em sua estrutura mais simples, PCI DSS é composta de apenas 12 regras que são agrupados em seis categorias. Estas regras são:

1.) Construir e MANTER uma rede segura:

  • Instalar e manter um firewall para proteger os dados do portador de cartão.
  • Não usar padrões disponibilizados pelo fornecedor para senhas e outros parâmetros de segurança.

2.) Proteger os dados do portador do cartão

  • Proteger os dados armazenados.
  • Criptografar os dados do titular do cartão enquanto ele é transmitido através de redes públicas.

3.) Manter um programa de gerenciamento de vulnerabilidades

  • Use antivírus atualizados regularmente.
  • Desenvolver e manter sistemas e aplicações seguras.

4.) Implementar medidas de controle de acesso

  • Restringir o acesso aos dados do cartão de crédito em uma base de conhecimento.
  • Atribuir IDs únicos para cada pessoa com acesso ao computador.
  • Restringir o acesso físico aos dados do portador do cartão.

5.) Regularmente Monitorar e testar as redes

6.) Manter uma Política de Segurança da Informação

Embora estas 12 regras pareçam simples, incluem uma infinidade de definições e sub-regras que devem ser seguidas para ajudar os comerciantes a aderirem ao regulamento.

Compliance vs Segurança. Muitas vezes, depois de uma grande perda de dados, como a recente violação Target, críticos atacam o PCI DSS como sendo um fracasso. É importante a compreensão da conformidade de segurança, que é dinâmica. Um comerciante pode ser compatível com PCI DSS e ainda durante o curso de um ano, também apresentar falhas de segurança. E ao longo do tempo, o padrão continua a ser aperfeiçoado e melhorado para enfrentar a dinâmica da constante mudança de cenário de ameaças de hoje, bem como no ambiente de rede do comerciante e portador do cartão.

PCI DSS não é uma panaceia. Mas, ele fornece uma base sólida que muitas empresas, e não apenas os comerciantes, deveriam examinar como uma metodologia para ajudar a reduzir os riscos e evitar a perda de dados.

Fonte: Security 101: PCI DSS por Chris McKie

Produtos Fortinet

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: