Conformidade com o PCI na nuvem híbrida da Rackspace


Autores:
Mahesh Gande, gerente sênior de soluções
Francis Ofungwu, gerente de produto das soluções de segurança Rackspace
Jarret Raim, gerente de produtos de segurança da nuvem Rackspace
Lizetta Staplefoote, estrategista de conteúdo on-line

1. INTRODUÇÃO

Atender à norma de segurança do setor de cartões de pagamento (PCI-DSS, na sigla em inglês) pode ser um exercício caro e complexo para uma empresa média de comércio eletrônico. Isso pode explicar por que 96% das vítimas de violação em 2011 não estavam em conformidade desde sua última avaliação ou nunca foram validadas.1

Não há uma abordagem universal para que a conformidade seja obtida e mantida. Comerciantes sem a expertise necessária para executar um programa de conformidade eficaz devem procurar a orientação de parceiros externos para complementar suas lacunas de conhecimento e deficiências de infraestrutura.

2. OS 12 REQUISITOS DE CONFORMIDADE COM A PCI-DSS

A PCI-DSS é um conjunto de requisitos abrangentes para melhorar a segurança dos dados em contas de pagamento. A norma foi desenvolvida pelo PCI Security Standards Council, que inclui American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa, a fim de facilitar a adoção ampla e global de medidas consistentes na segurança de dados.

82% das operações violadas não estavam em conformidade com as normas PCI-DSS para proteção de dados armazenados2

A conformidade com o PCI está dividida em 12 etapas, distribuídas em seis categorias de proteção:

1. Construir e manter uma rede segura

• Requisito 1: Instalação e manutenção de configuração de firewall para proteger os dados do titular do cartão.
Estabelece normas de configuração de roteador e firewall que exigem teste, procedimentos de teste e revisão dos conjuntos de regras de configuração a cada seis meses.

• Requisito 2: Não utilize modelos do fornecedor para senhas de sistema e outros parâmetros de segurança.
Aborda a higiene de senhas em relação às senhas disponibilizadas pelos fornecedores, que, se combinadas com ferramentas maliciosas capazes de mostrar todos os seus dispositivos em rede, podem tornar você um alvo fácil para entradas não autorizadas.

2. Proteger os dados do titular do cartão

• Requisito 3: Proteger dados armazenados do titular do cartão
Define o armazenamento, a criptografia e a retenção de dados do titular do cartão e de autenticação para os usos comerciais exigidos. Também cobre a documentação e a proteção das chaves usadas para criptografar os dados do titular do cartão.

• Requisito 4: Criptografar a transmissão de dados do titular do cartão em redes públicas e abertas
Refere-se à implementação de protocolos robustos de segurança e criptografia, como SSL/TLS, SSH ou IPSec, para a proteção de dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas (internet e dispositivos móveis). Além disso, as redes sem fio que transmitam dados do titular do cartão ou estejam ligadas ao ambiente de dados do titular do cartão devem usar as melhores práticas do setor para implementar uma criptografia robusta nos processos de autenticação e transmissão.

3. Manter um programa de gestão de vulnerabilidades

• Requisito 5: Usar e atualizar com frequência software e programas antivírus
Qualquer sistema potencialmente afetado por malware deve ser protegido por um software antivírus que esteja atualizado, funcionando ativamente e gerando registros de auditoria.

• Requisito 6: Desenvolver e manter seguros os sistemas e aplicações
O código do aplicativo deve respeitar as diretrizes de codificação segura, que incluem a revisão de códigos de terceiros e da aplicação principal para a identificação de vulnerabilidades.

4. Implementar medidas robustas de controle de acesso

Requisito 7: limitar o acesso a componentes do sistema e a dados do titular do cartão apenas àquelas pessoas cujo trabalho exija tal acesso
Para evitar que dados críticos sejam acessados por pessoal não autorizado de dentro e fora da empresa, devem existir processos documentados e sistemas para restringir o acesso aos dados do titular do cartão, por meio de controles de acesso baseados em função (RBAC) configurados como "negar a todos", exceto se o acesso ao sistema e aos dados do titular do cartão for especialmente autorizado.

• Requisito 8: atribuir um ID exclusivo
Qualquer usuário com acesso autorizado aos dados do titular do cartão deve ter uma identificação exclusiva para que as ações executadas em dados e sistemas críticos sejam realizadas por usuários conhecidos e autorizados, e sua origem possa ser rastreada. Este requisito também inclui disposições acerca do uso de autenticação de dois fatores via token e do armazenamento de senhas de usuário.

• Requisito 9: Restringir o acesso físico aos dados do titular do cartão
Para impedir que as mídias físicas contendo os dados do titular do cartão sejam removidas ou comprometidas, as áreas onde ficam dispositivos, dados, sistemas ou cópias impressas dos dados do titular do cartão devem ter acesso restrito. Isso se aplica tanto a sistemas eletrônicos de comerciantes on-line quanto a recibos de papel e sistemas POS de estabelecimentos físicos.

5. Monitorar e testar a rede regularmente

• Requisito 10: Rastrear e monitorar todo acesso aos recursos da rede e dados do titular do cartão
Mecanismos de registro e capacidade de rastrear a atividade dos usuários são fundamentais para a eficácia da gestão de vulnerabilidades e de futuras investigações. Os logs devem registrar ações específicas e criar uma trilha de auditoria, contendo, no mínimo: identificação do usuário, tipo do evento, data e hora, indicação de falha ou sucesso, origem do evento e identidade ou nome do recurso, do componente do sistema ou dos dados afetados. Esses registros devem ser analisados diariamente, e as trilhas de auditoria, mantidas por pelo menos um ano.

• Requisito 11: Testar regularmente os sistemas e processos de segurança
Executar uma verificação de vulnerabilidades em redes externas e internas pelo menos trimestralmente e após modificações e atualizações de aplicativo ou qualquer alteração significativa na rede ou na infraestrutura. Depois de passarem pela verificação de conformidade inicial, os comerciantes devem passar por mais quatro verificações trimestrais consecutivas feitas por um Fornecedor de Verificações Aprovado (ASV) como requisito para a conformidade. Esta disposição também inclui o uso de sistemas de detecção de intrusão (IDS) atualizados e de ferramentas para o monitoramento da integridade dos arquivos, a fim de verificar o comprometimento do sistema ou a ocorrência de modificações não autorizadas em arquivos importantes, bem como gerar os alertas pertinentes.

Apenas 6% das organizações violadas relatam ter processos e testes regulares para os sistemas de segurança.3

6. Manter uma política de segurança de informações

Requisito 12: Manter uma política que aborde a segurança de informações para todo o pessoal

Estabelecer, publicar, atualizar e disseminar uma política de segurança que atenda aos requisitos de conformidade. Essa política deve incluir um processo de revisão anual para a identificação de vulnerabilidades e avaliação formal de riscos. Também são exigidas políticas de uso definidas para seleção de funcionários, acesso remoto, conexões sem fio, mídias eletrônicas removíveis, laptops, tablets, dispositivos portáteis, e-mail e internet.

3. QUEM PRECISA ESTAR EM CONFORMIDADE COM A PCI-DSS?

Se o seu negócio se encaixa em algum destes critérios, você precisa ter uma estratégia PCI-DSS em vigor:

• Você armazena, processa ou transmite dados* de titulares de cartão?
• Você fornece serviços a comerciantes que processam, armazenam ou transmitem dados* de titulares de cartão?
*Referem-se ao número da conta principal (PAN) mais nome do titular, data de validade, código de serviço

Tipos de validação e níveis de comerciante da PCI-DSS

O processo e a frequência de validação da conformidade com estas 12 etapas é determinado pelo seu nível de comerciante e pelos tipos de avaliação de segurança abaixo:

Seu tipo de validação determina qual SAQ você precisa preencher.

*Exemplo de classificações da marca de cartões VISA. Existem outros padrões no setor.

Por que a conformidade é importante?

A não conformidade com a PCI-DSS pode acarretar:
• Perda de reputação
• Custos maiores na aceitação de transações com cartão de crédito
• Multas substanciais associadas a falhas de segurança e à não conformidade

No caso de uma violação ocorrer como resultado de não conformidade, há custos de detecção e contenção para investigar o incidente, despesas de reparação, taxas jurídicas e honorários advocatícios, além de:

• Perda de confiança do cliente
• Perda de vendas e receita
• Degradação da marca ou queda no valor das ações
• Multas e penalidades pela não conformidade com a PCI-DSS
• Cessação da capacidade de aceitar cartões de pagamento
• Perdas por fraude
• Custo de reemissão de novos cartões de pagamento
• Custos de resolução de litígios
• Custo de julgamentos ou acordos judiciais

Formação de parcerias para obtenção de conformidade com a PCI-DSS

Devido à complexidade e à necessidade de manter a PCI-DSS, muitos comerciantes optam por recrutar parceiros que forneçam as ferramentas necessárias para a criação de elementos de infraestrutura compatíveis com as exigências.

Mesmo com parceiros envolvidos, a conformidade com a PCI-DSS é uma responsabilidade conjunta, compartilhada por você e seu provedor. Fazer a hospedagem em um provedor que ofereça infraestrutura compatível com a PCI-DSS não coloca você em conformidade automaticamente. Por exemplo, um simples erro de código pode deixar a empresa vulnerável a um exploit, mesmo com parceiros robustos de hospedagem e segurança. Como pode ser visto abaixo, cada parte tem sua responsabilidade:

4. COMO FICAR EM CONFORMIDADE COM A PCI-DSS

Perguntas a serem feitas:

1. Seu banco já falou com você a respeito da PCI-DSS ou estipulou uma data para que a conformidade seja cumprida? Por que é importante: pode determinar o quão agressivo precisa ser o seu cronograma de conformidade.

2. Você falou com seu adquirente sobre a conformidade com a PCI-DSS? Por que é importante: normalmente, o adquirente é responsável pela conformidade do comerciante

3. Você vai se inscrever no programa de conformidade de qual marca de pagamento (AMeX, Discover, JCB, MasterCard, Visa)? Por que é importante: cada marca de pagamento tem seus próprios requisitos de validação.

4. Qual questionário de autoavaliação você vai preencher? Por que é importante: procure a ajuda de um Consultor de Segurança Qualificado (QSA) para determinar qual questionário de Autoavaliação da Norma de Segurança de Dados PCI se ajusta a seus processos comerciais.

5. Você é um provedor de serviços, comerciante ou ambos? Por que é importante: para determinar quais requisitos de validação aplicam-se ao seu negócio.

6. Você possui recursos internos para gerar conformidade? Por que é importante: para identificar lacunas e avaliar onde as parcerias podem ser mais valiosas.

Opções disponíveis:

O pilar fundamental da PCI-DSS é a proteção de dados. As políticas da sua empresa e o volume de transações de cartão de crédito, junto a outros fatores comerciais que não serão discutidos aqui, devem balizar a decisão de onde os dados serão armazenados e como serão protegidos. Opções a serem exploradas:

• Armazenar os dados de cartão de crédito em um provedor que ofereça infraestrutura em conformidade com a PCI-DSS.

• Armazenar informações de cartão de crédito usando um gateway de pagamento de terceiros e transmissão de dados no lado do servidor com o uso de APIs. Os dados são coletados, criptografados e enviados aos seus servidores.

Como funciona:

1. Mediante a solicitação de fechamento de compra feita por um cliente, um formulário é exibido para coletar as informações de pagamento exigidas. Quando o cliente envia o formulário, os dados são criptografados e enviados aos seus servidores.

2. Com o uso de uma biblioteca-cliente, faz-se uma chamada S2S (servidor para servidor) para o gateway de pagamento para concluir o processamento da transação.

3. O gateway de pagamento processa a transação e devolve uma resposta ao seu servidor.

4. Essa resposta pode ser usada para exibir dados relevantes (como o status da transação) no navegador do cliente.

• Armazenar informações de cartão de crédito usando um gateway de pagamento de terceiros e transmissão de dados a partir do navegador-cliente antes da conexão com o seu servidor.

Como funciona:

1. Mediante a solicitação de fechamento de compra feita por um cliente, um formulário é exibido para coletar as informações de pagamento exigidas. Quando o cliente envia o formulário, os dados são lançados diretamente no gateway de pagamento por meio de uma conexão SSL.

2. O gateway de pagamento armazena os dados. Como o gateway de pagamento redireciona o cliente de volta ao seu site sem exibir qualquer conteúdo, o cliente sequer fica sabendo que deixou o site.

3. O navegador do cliente solicita o URL redirecionado a partir do seu site. A string de consulta para o URL de solicitação contém um token que identifica os dados armazenados na Etapa 1.

4. Usando-se a biblioteca-cliente, uma chamada S2S (servidor para servidor) é feita ao gateway de pagamento para concluir o processamento da solicitação. Esta etapa confirma que se o cliente não concluir o redirecionamento para o seu site, o gateway de pagamento não concluirá a transação.

5. Após receber a solicitação de confirmação, o gateway de pagamento executará a transação e enviará uma resposta.

Decidir entre armazenar os dados internamente ou usar um gateway de pagamento

Compare o custo de usar um gateway de pagamento de terceiros com o custo de armazenar as informações de cartão de crédito em seu centro de dados ou no centro de dados de um provedor. Compare estes cálculos para balizar sua decisão:

• Calcule o custo mensal dos produtos/serviços adicionais exigidos para o armazenamento interno dos dados de cartão de crédito. A Rackspace pode ajudar você a criar configurações de exemplo para fornecer estimativas de custo.

• Calcule o custo mensal para usar um gateway de pagamento de terceiros = número de transações * custo de transação cobrado pelo gateway de pagamento + receita on-line * % da receita a ser paga ao fornecedor do gateway de pagamento.

Se armazenar os dados localmente ficar mais caro do que usar um gateway, pense em migrar para um gateway. Se usar um gateway de pagamento for mais caro ou incompatível com outras políticas da empresa, considere armazenar os dados em servidores dedicados de um centro de dados compatível com a PCI-DSS.

Decidir entre transmitir dados a partir do servidor ou do navegador

Usar as APIs dos navegadores-cliente exclui sua infraestrutura de servidores do escopo de conformidade com a PCI-DSS, pois todos os dados confidenciais são transmitidos entre o usuário e o gateway de pagamento.

Quando você escolhe transmitir informações de cartão de crédito do lado servidor usando as APIs de um gateway de pagamento de terceiros, sua infraestrutura de servidores torna-se parte da conformidade com a PCI-DSS, pois há dados confidenciais passando por ela.

Solução compatível com a PCI-DSS para hospedagem dedicada na Rackspace

Exemplo de arquitetura de referência compatível com a PCI-DSS e sem gateway de pagamento:

 

Use esta tabela para alinhar suas necessidades de conformidade da PCI-DSS com os serviços da Rackspace:

 

Soluções compatíveis com o PCI para hospedagem em nuvem na Rackspace

Ao hospedar seu ambiente na Rackspace, você também poderá utilizar um processador de pagamento separado para fornecer "tokenização" – substituição dos dados do cartão de crédito por números sem significado, os "tokens". Quando você aceita um pagamento, os dados não relacionados à PCI-DSS são encaminhados ao seu ambiente hospedado na Rackspace, ao passo que dados de cartão de crédito convertidos em tokens são encaminhados ao seu processador de pagamentos.

Considerando que os dados do cartão de crédito de seus clientes não são enviados para a infraestrutura hospedada na Rackspace (somente para o processador de pagamentos), seu ambiente Rackspace permanece fora do escopo das exigências da PCI-DSS.

Confira os parceiros que oferecem ferramentas para a nuvem da Rackspace para encontrar serviços de gateway de pagamento recomendados pela Rackspace:

O Stripe é uma maneira simples e amigável de aceitar pagamentos on-line. O Stripe lida com formulários de pagamento personalizados, armazenamento de cartões, assinaturas e pagamentos diretos.

• Mais adequado para: desenvolvedores que estejam construindo aplicações de pagamento com o uso de APIs
• Preço: 2,9% + 30¢ por cobrança bem-sucedida*
 Saiba mais

O Braintree é uma plataforma de pagamentos com pilha completa para sites e apps móveis. O serviço fornece conta de comerciante, gateway de pagamento, faturamento recorrente e armazenamento de cartão de crédito, incluindo pagamento com um toque para SDKs móveis e aceitação de moedas estrangeiras.

• Mais adequado para: desenvolvedores que estejam construindo aplicações de pagamento com o uso de APIs
• Preço: 2,9% + 30¢ por cobrança bem-sucedida*
 Saiba mais

Com mais de 123 milhões de contas ativas em 190 mercados e 25 moedas ao redor do mundo, o PayPal permite comércio global na própria loja e via dispositivos móveis. O serviço dispõe de triagem automática de fraudes, política de proteção ao vendedor e oferece a opção de financiamento BillMeLater®.

• Mais adequado para: lidar com moedas internacionais
• Preço: 2,9% + 30¢ por cobrança bem-sucedida*
 Saiba mais

*preços e características observadas na data de redação deste artigo

CONCLUSÃO

Uma etapa fundamental para um programa de conformidade bem-sucedido é estabelecer a gestão contínua de pessoas, processos e tecnologia. Muitas organizações grandes e pequenas acham, equivocadamente, que investir apenas em tecnologias resolverá suas necessidades de segurança e conformidade. Tecnologias como firewalls, Sistemas de Detecção de Intrusão (IDS) e mecanismos de gestão de registros são apenas tão eficazes quanto as pessoas e processos que fazem a instalação e o gerenciamento deles.

Essa é uma lição que a TFL (Transport for London), responsável pela gestão dos serviços de transporte na capital inglesa, aprendeu enquanto tentava colocar seu sistema de pagamento de viagens em conformidade com a PCI-DSS. O sistema recebia 40.000 acessos por dia, com mais de 2,5 milhões de usuários registrados. Sendo um negócio que funciona 24 horas por dia, 365 dias por ano, eles não podiam correr o risco de ter uma violação ou falha interrompendo as operações Assim, a empresa recorreu à Rackspace para obter os elementos necessários à conformidade total. "Eu poderia dizer que, sem a considerável ajuda da Rackspace, nós não teríamos passado na rigorosíssima auditoria da PCI-DSS. A Rackspace certamente foi além de suas atribuições para garantir que tudo ficasse perfeito para nós", diz Aingaran Somaskandarajah, líder técnico da Oyster Card.

Deixe a Rackspace ser o seu parceiro confiável na jornada rumo à PCI-DSS. Nós podemos ajudá-lo a navegar pelo labirinto com infraestrutura e requisitos de solução para auxiliar a reduzir o escopo e a complexidade de seus esforços de conformidade. Fale conosco hoje mesmo para discutir suas necessidades ou explorar os serviços para conformidade com a PCI-DSS

Referências:

1http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
2http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
3http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
4https://www.pcisecuritystandards.org/merchants/self_assessment_form.php
5https://www.pcisecuritystandards.org/merchants/self_assessment_form.php
6http://www.verizonenterprise.com/DBIR/2013/



Este conteúdo foi útil?




© 2014 Rackspace US, Inc.

Salvo indicação em contrário, o conteúdo deste site está licenciado sob uma licença não adaptada de Creative Commons Attribution-NonCommercial-NoDerivs 3.0


Ver detalhes da licença e o AVISO LEGAL