Atendendo aos requisitos de risco de terceiros do PCI DSS em 2023

As organizações devem adotar programas eficazes de gerenciamento de riscos de terceiros (TPRM) para garantir que seus fornecedores atendam aos requisitos de segurança cibernética. Caso contrário, eles correm o risco de sofrer danos financeiros e de reputação causados por violações de dados de clientes.

O padrão PCI DSS abrange aspectos do gerenciamento de riscos de terceiros, pois é aplicável a todas as organizações que processam dados de cartão de crédito, especialmente o setor financeiro altamente regulamentado.

Evitar multas pesadas e manchetes negativas é suficiente para incentivar a conformidade com o PCI. Esses medos muitas vezes ofuscam os benefícios práticos da implementação do padrão, como maturidade da postura de segurança e práticas de TPRM mais eficazes.

Esta postagem descreve quais requisitos de PCI são relevantes para o processo de gerenciamento de risco de terceiros e como a plataforma UpGuard pode ajudar a cumprir cada requisito em todo o ecossistema do fornecedor.

Se você já está familiarizado com o PCI DSS, clique aqui para pular para os requisitos de risco de terceiros.

O que é PCI DSS?

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um padrão internacional de segurança da informação que visa proteger dados de cartão de crédito e dados confidenciais de autenticação e reduzir fraudes de cartão de crédito.

O padrão foi lançado pela primeira vez em 2004, alinhando os controles de segurança de dados de cinco grandes marcas de pagamento - Visa, MasterCard, Discover, American Express e JCB.

O PCI DSS passou por muitas revisões desde que as cinco marcas de cartões formaram seu órgão regulador - o Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC) - em 2006.

A versão mais recente do PCI DSS é a v4.0. Esta versão aborda a influência inevitável da transformação digital e das crescentes superfícies de ataque na tecnologia de pagamento.

Saiba como cumprir o PCI DSS 4.0 >

Qualquer organização que processe dados de cartão de crédito ou débito deve estar em conformidade com o PCI. Essas organizações incluem:

Compradores
Processadores
Comerciantes
Bancos
Provedores de serviços terceirizados

Descubra se você precisa contratar um auditor para conformidade com o PCI >

Quais são os requisitos de conformidade com o PCI DSS?

A versão mais recente do PCI DSS consiste em 12 requisitos principais, divididos em seis objetivos mais amplos.

Saiba como escolher um produto em conformidade com o PCI DSS 4.0 >

Objetivo 1: Construir e manter uma rede e sistemas seguros

Requisito 1. Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão.

Requisito 2. Não use padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança.

Objetivo 2: Proteger os dados do titular do cartão

Requisito 3. Proteja os dados armazenados do titular do cartão.

Requisito 4. Criptografe a transmissão de dados do titular do cartão em redes públicas abertas.

Objetivo 3: Manter um Programa de Gerenciamento de Vulnerabilidades

Requisito 5. Proteja todos os sistemas contra malware e atualize regularmente o software ou programas antivírus.

Requisito 6. Desenvolva e mantenha sistemas e aplicativos seguros.

Objetivo 4: Implementar medidas fortes de controle de acesso

Requisito 7. Restrinja o acesso aos dados do titular do cartão por necessidade de conhecimento da empresa.

Requisito 8. Identifique e autentique o acesso aos componentes do sistema.

Requisito 9. Restrinja o acesso físico aos dados do titular do cartão.

Objetivo 5: Monitorar e testar regularmente as redes

Requisito 10. Rastreie e monitore todo o acesso aos recursos de rede e aos dados do titular do cartão.

Requisito 11. Teste regularmente os sistemas e processos de segurança.

Objetivo 6: Manter uma Política de Segurança da Informação

Requisito 12. Mantenha uma política que aborde a segurança da informação para todo o pessoal.

O PCI Security Standards Council exige validação anual de conformidade. Os comerciantes devem preencher os Questionários de Autoavaliação (SAQs) e estarão sujeitos a auditorias no local por um Avaliador de Segurança Qualificado se lidarem com volumes maiores de transações.

As organizações que não cumprem o PCI DSS estão sujeitas a multas que variam de US$5.000 a US$100.000 por mês de não conformidade.

Esta lista de verificação ajudará você a acompanhar seus esforços de conformidade com o PCI DSS. Para avaliar a conformidade com o PCI DSS com seus fornecedores, use este modelo gratuito.

Saiba como comunicar o risco de terceiros ao Conselho >

Níveis de conformidade com o PCI DSS

Existem quatro níveis diferentes de requisitos de conformidade com o PCI DSS, dependendo de:

O número de transações com cartão de crédito que o comerciante processa,
O meio de processamento de pagamento que o comerciante usa, e
O status de violação de dados do comerciante.

Nível 1

Abrange comerciantes que processam mais de seis milhões de transações com cartão de crédito anualmente, incluindo transações do mundo real e de comércio eletrônico, OU qualquer comerciante que tenha sofrido recentemente uma violação de dados.

Requisitos de conformidade:

Auditoria anual por um Avaliador de Segurança Qualificado (QSA)
Verificação de rede trimestral realizada por um ASV (Approved Scanning Vendor)
Recebimento anual de um Atestado de Conformidade (AoC) e Relatório de Conformidade (RoC)

Nível 2

Abrange comerciantes que processam entre um e seis milhões de transações com cartão de crédito anualmente, incluindo transações do mundo real e de comércio eletrônico.

Requisitos de conformidade:

Preenchimento anual de um questionário de autoavaliação (SAQ)

Verificação de rede trimestral realizada por um ASV (Approved Scanning Vendor)

Nível 3

Abrange comerciantes que processam entre 20.000 e um milhão de transações de comércio eletrônico anualmente.

Requisitos de conformidade:

Preenchimento anual de um questionário de autoavaliação (SAQ)

Verificação de rede trimestral realizada por um ASV (Approved Scanning Vendor)

Nível 4

Abrange comerciantes que processam menos de 20.000 e um milhão de transações de comércio eletrônico anualmente, ou até um milhão de transações do mundo real anualmente.

Requisitos de conformidade:

Preenchimento anual de um questionário de autoavaliação (SAQ)

Verificação de rede trimestral realizada por um ASV (Approved Scanning Vendor)

Quais são os requisitos do PCI DSS para terceiros?

O documento Suplemento de Informações: Garantia de Segurança de Terceiros do PCI Security Standards Council afirma que as entidades podem terceirizar suas operações de cartão de crédito para um provedor de serviços terceirizado (TPSP), como "armazenar, processar ou transmitir dados do titular do cartão em nome da entidade ou gerenciar componentes do ambiente de dados do titular do cartão (CDE) da entidade. ”

Os TPSPs comuns incluem:

Hospedagem de aplicativos
Centros de dados
Provedores de gateway de pagamento
Infraestrutura em nuvem
Serviços de criptografia ou tokenização
Serviços de segurança gerenciados
Processadores de pagamento

Os componentes do CDE incluem:

Roteadores
Firewalls
Bancos
Segurança física
E/ou servidores

Embora o Conselho reconheça que esse TPSP "... pode se tornar parte integrante do ambiente de dados do titular do cartão da entidade... impactar a conformidade com o PCI DSS de uma entidade....[e] a segurança do ambiente de dados do titular do cartão", ele enfatiza que uma entidade é "responsável por sua própria conformidade com o PCI DSS, [e] não... da responsabilidade e obrigação de garantir que seus dados do titular do cartão (CHD) e CDE estejam seguros. ”

O PCI SSC fornece orientação em quatro áreas principais para ajudar as entidades a implementar programas de TPRM que atendam aos requisitos de segurança do padrão PCI DSS.

1. Due Diligence de Provedor de Serviços Terceirizado

Praticar a devida diligência do fornecedor para garantir que os fornecedores em potencial sejam revisados e selecionados com base em suas práticas de segurança.

2. Correlação de serviço com os requisitos do PCI DSS

Chegar a um acordo mútuo sobre quais requisitos do PCI DSS devem ser cumpridos pelo TPSP e aqueles que a entidade cumprirá, entendendo que a entidade é responsável final pelo cumprimento.

3. Acordos Escritos e Políticas e Procedimentos

Criar acordos escritos que declarem claramente o acordo mútuo alcançado pelo TPSP e pela entidade em relação aos requisitos de conformidade com o PCI DSS.

4. Monitore o status de conformidade do provedor de serviços terceirizado

Ter visibilidade do status de conformidade com o PCI DSS de cada TPSP relevante para garantir que a própria entidade permaneça em conformidade.

Requisitos de risco de terceiros do PCI DSS

O Padrão de Segurança de Dados PCI inclui um programa condensado de gerenciamento de risco de fornecedores, seccionado sob o requisito 12.8, contendo cinco subrequisitos e um requisito adicional especificamente para provedores de serviços terceirizados.

Requisito 12.8

"Estabelecer e implementar políticas e procedimentos para gerenciar provedores de serviços onde os dados do titular do cartão são compartilhados ou podem afetar a segurança dos dados do titular do cartão. "

As políticas são procedimentos devem cobrir os seguintes sub-requisitos.

Subrequisito 12.8.1

"Mantenha uma lista de prestadores de serviços, incluindo uma descrição do serviço prestado. "

O Inventário de Fornecedores da UpGuard pode encontrar, rastrear e monitorar instantaneamente a postura de segurança de qualquer organização. O recurso permite que as organizações comparem os provedores de serviços com os benchmarks do setor e monitorem sua postura de segurança ao longo do tempo em um local centralizado.