Auditoria e conformidade com Payment Card Industry Data Security Standard (PCI DSS)

Mais de 200 testes de seis princípios básicos

A norma PCI DSS (www.pcisecuritystandards.org) envolve a avaliação através de mais de 200 testes que se enquadram em 12 áreas de segurança geral que representam seis princípios fundamentais. Estes testes PCI DSS abrangem uma grande variedade de práticas de segurança comuns juntamente com tecnologias como criptografia, gerenciamento de chaves e outras técnicas de proteção de dados.

Riscos associados à auditoria e conformidade PCI DSS

• O não cumprimento dos requisitos de conformidade da norma PCI DSS pode resultar em multas, aumento de taxas ou até mesmo no encerramento de sua capacidade de processar transações com cartões de pagamento.
• A conformidade PCI DSS não pode ser considerada isoladamente; as empresas estão sujeitas a múltiplos mandatos de segurança e leis ou regulamentos de divulgação de violação de dados. Por outro lado, os projetos de conformidade PCI podem ser facilmente controlados por iniciativas mais amplas de segurança corporativa.
• As orientações e recomendações ligadas aos requisitos da norma PCI DSS incluem práticas comuns que provavelmente já estão em vigor. Entretanto, alguns aspectos, especificamente aqueles associados à criptografia, podem ser novos para a empresa, e as implementações podem ser disruptivas, impactando negativamente a eficiência operacional se não forem projetadas corretamente.
• É muito comum haver uma abordagem fragmentada da segurança baseada em múltiplas soluções proprietárias de fornecedores e tecnologias inadequadas que são caras e complexas de operar.
• Existem oportunidades para reduzir o escopo das obrigações de conformidade PCI DSS e, portanto, reduzir o custo e o impacto; entretanto, as empresas podem perder tempo e dinheiro se não tiverem o cuidado de garantir que os novos sistemas e processos sejam de fato aceitos como compatíveis com os requisitos PCI DSS.

Uma solução de conformidade integrada

Com base em décadas de experiência ajudando bancos e instituições financeiras a cumprir os mandatos do setor, a Thales oferece produtos e serviços integrados que permitem que sua empresa proteja os dados armazenados do portador do cartão, criptografe-os para transferência e restrinja o acesso com base na necessidade de vê-los. Além disso, a Thales trabalha em conjunto com parceiros para oferecer soluções abrangentes que podem reduzir o escopo de sua carga de conformidade PCI DSS.

Abordando os princípios básicos da norma PCI DSS

A Thales oferece soluções abrangentes de software de conformidade PCI DSS que ajudam as empresas a lidar com os seis princípios principais da PCI DSS:

• Proteção de dados em repouso do portador do cartão: O CipherTrust Manager e os módulos de segurança de hardware (HSMs) Luna da Thales permitem às empresas gerenciar centralmente chaves de criptografia e fornecer uma variedade de soluções de criptografia, tokenização e mascaramento de dados para proteger os dados de portadores de cartões em arquivos, pastas, aplicativos e bancos de dados tanto em ambientes tradicionais como em nuvem ou virtuais.
• Criptografia de dados em movimento do portador do cartão: Os High Speed Encryptors (HSE) da Thales criptografam todos os dados que atravessam as redes abertas entre os dispositivos de ponto de venda e os sistemas que processam os dados do portador do cartão.
• Desenvolvimento e manutenção de um sistema e aplicativos seguros: Os HSMs Luna da Thales permitem que as empresas armazenem com segurança o material de assinatura em um dispositivo de hardware confiável, garantindo assim a autenticidade e integridade de qualquer arquivo de código de aplicativo.
• Implementação de medidas fortes de controle de acesso: Os produtos CipherTrust da Thales podem ser configurados para acesso administrativo único e multifatorial a sistemas que armazenam os dados do portador do cartão. Além disso, o SafeNet Trusted Access permite gerenciar centralmente identidades de usuário exclusivas, políticas de autenticação baseadas em risco e adicionar/revogar acesso a sistemas em seu ambiente de dados do portador do cartão (CDE).
• Rastreamento e monitoramento de todo o acesso a dados do portador do cartão: Todos os produtos do portfólio de proteção de dados CipherTrust da Thales produzem registros de auditoria que registram qualquer operação do ciclo de vida de chaves de criptografia (criação/eliminação/rotação/revogação) e outras funções administrativas que podem ser usadas para reconstruir eventos.