Pesquisa de site

Requisitos PCI DSS 3.2: o que isso significa para você

Se você é um comerciante ou provedor de serviços, deve estar ciente das mudanças que ocorrerão no Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) na versão 3.2.

O Conselho revisa e atualiza periodicamente o PCI DSS para garantir que ele continue a proteger contra ameaças antigas e novas ameaças emergentes.

A primeira parte das mudanças está oficialmente em vigor e a segunda parte entrará em vigor ainda este ano.

Antes de começarmos, vamos revisar os princípios básicos do PCI DSS.

À medida que a indústria de cartões de pagamento se expandia rapidamente, o Payment Card Industry Security Standard Council (PCI SSC) desenvolveu um conjunto de requisitos denominado PCI DSS. Estas especificações garantem que todas as empresas que processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro.

O PCI DSS se aplica a todas as organizações ou comerciantes que aceitam, transmitem ou armazenam dados de titulares de cartão, independentemente do tamanho ou número de transações.

Restaurantes, varejistas, hotéis, consultórios médicos e advogados e muito, muito mais, todos precisam estar atentos às atualizações do PCI DSS para permanecerem em conformidade.

Você está em conformidade com o PCI DSS versão 3.2, que exige maior segurança de rede?

Ao não atualizar para protocolos mais seguros, você coloca sua empresa em sério risco de violação de segurança. Os seguintes requisitos entraram em vigor em 1º de fevereiro de 2018, para comerciantes e prestadores de serviços:

Requisito 6.4.6

Implementação e documentação de gerenciamento de mudanças; todos os requisitos relevantes do PCI DSS devem ser implementados em todos os sistemas e redes novos ou alterados. Esta alteração destina-se a organizações que não estão seguindo as partes de alteração destes requisitos.

Requisito 8.3.1

Implemente a autenticação multifator para qualquer acesso de administrador ao ambiente de dados do titular do cartão (CDE). Esta mudança entrará em vigor para minimizar o número de violações que ocorreram devido a ataques de phishing de administradores.

O restante das alterações são apenas para prestadores de serviços:

Requisito 3.5.1

Manter a documentação da arquitetura criptográfica. Isto evita que os provedores de serviços ofereçam soluções de criptografia ponta a ponta que não atendam aos padrões P2PE do Conselho.Requisito 10.8

Implemente a detecção e a geração de relatórios de controles críticos de segurança quando eles falharem. Os prestadores de serviços terão agora de fornecer provas de que existe um alerta quando sistemas críticos falham.

Requisito 10.8.1

Responda e documente falhas de quaisquer controles críticos de segurança em tempo hábil. Além de implementar alertas, os prestadores de serviços também terão de provar que responderam ao alerta em tempo útil.

Requisito 11.3.4.1

Implementação de testes de penetração semestrais de controles de segmentação. O Conselho exige que os testes de penetração ocorram a cada seis meses ou se forem feitas alterações que afetem os controles de segmentação.

Requisito 12.4.

Atribua a responsabilidade pelos dados do titular do cartão, pela conformidade com o PCI DSS, crie um estatuto do PCI DSS e um plano de comunicação para o gerenciamento.

Requisito 12.11.a

Revisão trimestral pela gestão da conformidade de políticas e processos com o pessoal.

Requisito 12.11.1

Manter a documentação da revisão gerencial semestral para permanecer em conformidade com 12.11.a.

O restante das alterações nos padrões entrará em vigor a partir de 1º de julho de 2018. Comerciantes e prestadores de serviços devem descontinuar o suporte para os protocolos criptográficos Secure Sockets Layer (SSL) e Transport Layer Security (TLS) até 30 de junho de 2018 para permanecer em conformidade. Embora os protocolos já tenham fornecido a base para comunicações de rede seguras, eles foram comprometidos e não são mais considerados seguros.

O site do PCI Security Standards Council enfatiza os perigos que o SSL e os primeiros TLS representam para comerciantes e provedores:

  • Existem muitas vulnerabilidades graves no SSL e nos primeiros TLS que, se não forem abordadas, colocam as organizações em risco de serem violadas. As explorações generalizadas de POODLE e BEAST são apenas alguns exemplos de como os invasores aproveitaram as fraquezas do SSL e dos primeiros TLS para comprometer as organizações.
  • De acordo com o NIST, não há correções ou patches que possam reparar adequadamente o SSL ou o TLS antigo. Portanto, é extremamente importante que as organizações atualizem para uma alternativa segura o mais rápido possível e desabilitem qualquer fallback para SSL e TLS inicial.

Então, o que você pode fazer agora para se proteger contra vulnerabilidades SSL e TLS iniciais?

Comece o processo de migração para protocolos seguros.

Durante esse processo, sugere-se migrar para um mínimo de TLS 1.1, ou melhor ainda, TLS 1.2, depois corrigir o software TLS e configurar o TLS com segurança.

Preciso de ajuda? A Netsurion está aqui para ajudá-lo.

Temos ajudado os comerciantes com a conformidade com o PCI desde o seu início, fornecendo soluções acessíveis de segurança de rede gerenciada que tornam a conformidade fácil e eficiente.

Seu foco deve permanecer na administração do seu negócio, sem se preocupar com o status da sua conformidade.

Para obter mais informações sobre conformidade com PCI, visite nosso recurso de suporte de conformidade.

Artigos relacionados