Requisitos do PCI DSS 4.0
O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é uma norma de segurança da informação que fornece uma linha de base de requisitos técnicos e operacionais destinados a proteger os dados de pagamento e a reduzir a fraude com cartões de crédito. O PCI DSS destina-se a todas as entidades que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados de autenticação sensíveis (SAD).
A nova versão da norma foi publicada em 31 de março de 2022. As alterações relativamente à versão anterior 3.2.1 incluem:
- Expansão do requisito 8 para implementar a autenticação multifator (MFA) para todos os acessos ao ambiente de dados do titular do cartão.
- Atualização da terminologia das firewalls para controlos de segurança da rede, a fim de apoiar uma gama mais vasta de tecnologias utilizadas para cumprir os objectivos de segurança tradicionalmente cumpridos pelas firewalls.
- Maior flexibilidade para as organizações demonstrarem como estão a utilizar diferentes métodos para atingir os objectivos de segurança.
- Adição de análises de risco específicas para permitir às entidades a flexibilidade de definir a frequência com que realizam determinadas actividades, conforme melhor se adapte às suas necessidades comerciais e exposição ao risco.
Os detalhes sobre as actualizações podem ser encontrados no documento PCI DSS v4.0 Summary of Changes (Resumo das alterações) no sítio Web do PCI SSC.
O que é o PCI DSS?
O Payment Card Industry Data Security Standard (PCI DSS) foi desenvolvido para incentivar e melhorar a segurança dos dados das contas de cartões de pagamento e facilitar a adoção generalizada de medidas consistentes de segurança de dados sensíveis a nível mundial. O PCI DSS fornece uma base de referência de requisitos técnicos e operacionais concebidos para proteger os dados das contas e fazer parte de uma política geral de segurança da informação.
Quem deve cumprir o PCI DSS?
A conformidade com o PCI DSS é obrigatória para as instituições financeiras, processadores de pagamentos online, comerciantes que aceitam cartões de pagamento e qualquer organização que processe transacções com cartões de pagamento, armazene ou aceda a informações sobre cartões de pagamento e quaisquer fornecedores de serviços que permitam negócios em qualquer parte do ecossistema de processamento de cartões.
Quando é que o PCI DSS 4.0 entrará em vigor?
O PCI DSS v3.2.1 permanecerá ativo durante dois anos após a publicação da v4.0. Isto dá às organizações tempo para se familiarizarem com a nova versão e planearem e implementarem as alterações necessárias. O cronograma de implementação é apresentado na imagem abaixo.
Figura 1: Cronograma de implementação do PCI DSS 4.0. Fonte: PCI SSC
Que obstáculos comuns estão associados ao PCI DSS?
- O não cumprimento dos requisitos de conformidade da norma PCI DSS pode resultar em multas, aumento de taxas ou até mesmo no encerramento de sua capacidade de processar transações com cartões de pagamento.
- O cumprimento do PCI DSS não pode ser considerado isoladamente; as organizações estão sujeitas a vários mandatos de segurança e leis ou regulamentos de proteção de dados e privacidade. Por outro lado, os projetos de conformidade PCI podem ser facilmente controlados por iniciativas mais amplas de segurança corporativa.
- As orientações e recomendações ligadas aos requisitos da norma PCI DSS incluem práticas comuns que provavelmente já estão em vigor. No entanto, alguns aspectos, especificamente os associados à encriptação e à autenticação multifator, podem ser novos para a organização e as implementações podem ser perturbadoras, afectando negativamente a eficiência operacional se não forem concebidas corretamente.
- É demasiado fácil acabar com uma abordagem fragmentada da segurança baseada em múltiplas soluções de fornecedores proprietários e tecnologias inadequadas que são caras, complexas de operar e criam vulnerabilidades adicionais.
- Existem oportunidades para reduzir o âmbito das obrigações de conformidade com o PCI DSS e, por conseguinte, reduzir o custo e o impacto; no entanto, as organizações podem perder tempo e dinheiro se não exercerem a devida diligência para garantir que os novos sistemas e processos serão acreditados como compatíveis com o PCI DSS.
Quais são as penalidades por não conformidade com o PCI DSS?
As penalizações por não conformidade com o PCI DSS podem incluir coimas de 5 a 100 mil dólares por mês. As sanções podem também incluir o aumento dos requisitos de auditoria e o potencial encerramento da atividade de cartão de crédito por um banco comercial ou marca de cartão de crédito.
Conformidade com a Norma de Segurança de Dados da Indústria de Cartões de Pagamento 4.0 (PCI DSS)
Saiba mais sobre a conformidade com o PCI DSS 4.0, a mais recente atualização do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento, e como a Thales pode ajudar a proteger os dados do titular do cartão em ambientes de TI híbridos.
Como a Thales ajuda na conformidade com o PCI DSS
Com base em décadas de experiência a ajudar bancos e instituições financeiras a cumprir os mandatos da indústria, a Thales oferece produtos e serviços integrados que permitem à sua organização proteger os dados armazenados do titular do cartão, encriptá-los para transferência, restringir o acesso com base na necessidade de conhecimento e proteger as aplicações que gerem as transacções de pagamento. Além disso, a Thales trabalha em conjunto com parceiros para oferecer soluções abrangentes que podem reduzir o escopo de sua carga de conformidade PCI DSS.
Abordagem dos requisitos de conformidade do PCI DSS 4.0
Como é que a Thales ajuda:
- Descubra, analise e priorize as vulnerabilidades.
- Multi-Tenancy e separação de tarefas.
- Acesso administrativo encriptado sem consola.
Como é que a Thales ajuda:
- Descubra e classifique os dados do titular do cartão.
- Encripte e tokenize os dados do titular do cartão.
- Proteja as chaves de encriptação em dispositivos FIPS 140-2 L3.
- Gestão do ciclo de vida das chaves e dos segredos.
Como é que a Thales ajuda:
- Tokenização e encriptação de dados antes da transmissão.
- Encriptação de alta velocidade de dados em movimento.
Como é que a Thales ajuda:
- Inspeccione todo o tráfego, detecte e evite ataques baseados na Web com o WAF.
- Permita apenas scripts autorizados na página de pagamento.
- Descubra, analise e priorize as vulnerabilidades.
- FIPS 140-2 de nível 3 raiz de confiança para credenciais e chaves.
Como é que a Thales ajuda:
- Negue o acesso não autorizado aos dados e segredos protegidos do titular do cartão.
- Separação de funções e acesso com privilégios mínimos.
- Controle de forma centralizada as identidades dos utilizadores e as políticas de autenticação baseadas no risco para ambientes de dados do titular do cartão (CDE).
Soluções:
Segurança dos dados
Gestão de identidade e acesso
Como é que a Thales ajuda:
- Garanta de que é atribuída uma credencial única a cada utilizador.
- A mais ampla gama de métodos de autenticação e factores de forma.
- Políticas geridas de forma centralizada a partir de um back-end de autenticação fornecido na nuvem ou no local.
Como é que a Thales ajuda:
- Encriptação e tokenização de dados com destruição de chaves.
- Cartões inteligentes para controlo do acesso físico.
Soluções:
Segurança dos dados
Gestão de identidade e acesso
Como é que a Thales ajuda:
- Pista de auditoria completa dos eventos de acesso a ficheiros, chaves e segredos enviados para o SIEM.
- Verificação contínua da atividade de auditoria 24/7 365
- Deteção de anomalias por aprendizagem automática para identificar comportamentos suspeitos.
Soluções:
Segurança dos dados
Gestão de identidade e acesso
Como é que a Thales ajuda:
- Evite alterações não autorizadas nas páginas de pagamento, permitindo apenas scripts autorizados.
Como é que a Thales ajuda:
- Localize dados regulamentados estruturados e não estruturados na nuvem, big data e armazenamentos de dados tradicionais.
- Automatize a correção de dados se for encontrado um PAN vulnerável fora do CDE.
Recursos relacionados
Descrição da solução
Prepare-se para o PCI DSS 4.0 com a plataforma de identidade OneWelcome da Thales
Outros regulamentos importantes em matéria de segurança e proteção de dados
PCI HSM
MANDATO | EM VIGOR
A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.
DORA
REGULAMENTO | EM VIGOR
O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.
Leis de notificação de violação de dados
REGULAMENTO | EM VIGOR
Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".
GLBA
REGULAMENTO | EM VIGOR
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.